意大利电信公司TIM的漏洞研究部门Red Team Research (RTR) 发现了2个影响爱立信 OSS-RC 的新漏洞。TIM RTR已向爱立信报告了这些漏洞。

据悉,这2个漏洞均存在 18B 及更早版本的 OSS-RC 系统中,升级后的系统使用新的爱立信库浏览工具 ELEX可以规避掉类似漏洞。

让我们来看看当一条新电话线被激活时客户端的情况:CRM系统收到了

意大利电信公司TIM的漏洞研究部门Red Team Research (RTR) 发现了2个影响爱立信 OSS-RC 的新漏洞。TIM RTR已向爱立信报告了这些漏洞。

据悉,这2个漏洞均存在 18B 及更早版本的 OSS-RC 系统中,升级后的系统使用新的爱立信库浏览工具 ELEX可以规避掉类似漏洞。

让我们来看看当一条新电话线被激活时客户端的情况:CRM系统收到了

近日,中国工业互联网安全大赛(福建省选拔赛)暨首届福建省工业互联网创新大赛举办。三六零(601360.SH,下称“360”)工业互联网安全研究院冀磊受邀担任大赛裁判,并发表题为《车联网V2X安全》的主题演讲。

所谓V2X,即将车辆与一切事物相连接的新一代信息通信技术,其中V代表车辆,X代表任何与车交互信息的对象,当前X主要包含车、人、交通路侧基础设施和网络。V2X交互的信息模式包括车与车之间、车与路之间、车与人之间、车与网络之间。

据冀磊介绍,以黑客组织为代表的网络攻击者主要通过以下三种途径对车联网网络发起网络攻击:

第一,利用 PC5 无线接口的开放性,攻击者可以通过合法终端及用户身份接入系统,构造并对外恶意发布虚假信息。比如,攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露,严重时,用户车辆可能被非法跟踪,直接威胁用户人身安全。

第二,蜂窝通信接口场景下,攻击者主要利用假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等方式对车联网业务或业务发起攻击。比如,攻击者部署虚假的网络基站并通过发射较强的无线信号导致终端发起重选或脱网,造成网络数据连接中断,或者使用5.9G 频段信号干扰V2X 消息收发,直接危害车联网业务安全。

第三,以蜂窝通信为基础,基于云平台的应用发起攻击,包括假冒用户、假冒业务服务器、非授权访问、威胁数据安全等。比如,在未经认证的情况下,攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务。 

但目前,车联网V2X安全市场呈现碎片化、界线强等特点,数据难以打通,传统互联网安全已经无法应对车联网安全风险,亟需一种包括安全咨询、产品设计、安全开发、安全测试、运营监管等在内的一体化、可持续、闭环生态式的安全保障体系。

360工业互联网安全研究院提出的解决方案是车联网网络安全靶场。车联网网络安全靶场主要包括数据采集、数据分析、特征分析、态势感知、攻击溯源、闭环修复等模块。此外,其坚持以360网络安全大脑平台为智能网联车和车联网靶场感知基座,充分发挥安全大脑大数据和智慧资源优势,提升靶场攻防精准性。

冀磊介绍称,车联网网络安全靶场坚持智能网联车网络靶场实用化路线,采用数字孪生技术创新实现智能网联车物理现实与虚拟仿真孪生体的实时映射,保证网联车物理现实运行安全与虚拟网络安全态势感知、预判、处置的准同步,从而促进智能网联汽车产业健康发展。

据悉,360工业互联网安全研究院是大安全领域的探索者,主要从事前沿技术研究、创新产品孵化和新型业务模式探索,其依托大数据协同安全技术国家工程实验室、安全大脑国家新一代人工智能开放创新平台等国家级平台能力,聚焦前沿技术研究、创新产品孵化、构建产业生态和工业互联网交叉型人才的培育培养,并打造全国工业互联网安全标杆。

近日,中国工业互联网安全大赛(福建省选拔赛)暨首届福建省工业互联网创新大赛举办。三六零(601360.SH,下称“360”)工业互联网安全研究院冀磊受邀担任大赛裁判,并发表题为《车联网V2X安全》的主题演讲。

所谓V2X,即将车辆与一切事物相连接的新一代信息通信技术,其中V代表车辆,X代表任何与车交互信息的对象,当前X主要包含车、人、交通路侧基础设施和网络。V2X交互的信息模式包括车与车之间、车与路之间、车与人之间、车与网络之间。

据冀磊介绍,以黑客组织为代表的网络攻击者主要通过以下三种途径对车联网网络发起网络攻击:

第一,利用 PC5 无线接口的开放性,攻击者可以通过合法终端及用户身份接入系统,构造并对外恶意发布虚假信息。比如,攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露,严重时,用户车辆可能被非法跟踪,直接威胁用户人身安全。

第二,蜂窝通信接口场景下,攻击者主要利用假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等方式对车联网业务或业务发起攻击。比如,攻击者部署虚假的网络基站并通过发射较强的无线信号导致终端发起重选或脱网,造成网络数据连接中断,或者使用5.9G 频段信号干扰V2X 消息收发,直接危害车联网业务安全。

第三,以蜂窝通信为基础,基于云平台的应用发起攻击,包括假冒用户、假冒业务服务器、非授权访问、威胁数据安全等。比如,在未经认证的情况下,攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务。 

但目前,车联网V2X安全市场呈现碎片化、界线强等特点,数据难以打通,传统互联网安全已经无法应对车联网安全风险,亟需一种包括安全咨询、产品设计、安全开发、安全测试、运营监管等在内的一体化、可持续、闭环生态式的安全保障体系。

360工业互联网安全研究院提出的解决方案是车联网网络安全靶场。车联网网络安全靶场主要包括数据采集、数据分析、特征分析、态势感知、攻击溯源、闭环修复等模块。此外,其坚持以360网络安全大脑平台为智能网联车和车联网靶场感知基座,充分发挥安全大脑大数据和智慧资源优势,提升靶场攻防精准性。

冀磊介绍称,车联网网络安全靶场坚持智能网联车网络靶场实用化路线,采用数字孪生技术创新实现智能网联车物理现实与虚拟仿真孪生体的实时映射,保证网联车物理现实运行安全与虚拟网络安全态势感知、预判、处置的准同步,从而促进智能网联汽车产业健康发展。

据悉,360工业互联网安全研究院是大安全领域的探索者,主要从事前沿技术研究、创新产品孵化和新型业务模式探索,其依托大数据协同安全技术国家工程实验室、安全大脑国家新一代人工智能开放创新平台等国家级平台能力,聚焦前沿技术研究、创新产品孵化、构建产业生态和工业互联网交叉型人才的培育培养,并打造全国工业互联网安全标杆。

概要

本月初,白帽安全研究员 Gerhard Wagner 在 Polygon 的 Plasma 桥中发现了一个严重的双花漏洞,并提交至 Immunefi 漏洞奖励平台。具体而言,用户可以将特定金额存入 Polygon 的 Plasma 桥,提取所有金额,然后再提交同样的提取交易(提交的次数最多是223次),每次都能收到之

概要

本月初,白帽安全研究员 Gerhard Wagner 在 Polygon 的 Plasma 桥中发现了一个严重的双花漏洞,并提交至 Immunefi 漏洞奖励平台。具体而言,用户可以将特定金额存入 Polygon 的 Plasma 桥,提取所有金额,然后再提交同样的提取交易(提交的次数最多是223次),每次都能收到之

本文作者目前是微软的一名漏洞研究员,他讲述了将挖洞当作爱好和当作职业的笑与泪,以及一些建议忠告。如下是全文。

我写的通常都是自己挖到的有意思的浏览器 bug,希望能借读者一臂之力,应用这些经验或思路。不过这次我写的是将挖洞作为业余爱好与从事漏洞研究工作的不同之处。下面我将和你分享我的遗憾、惊喜和建议。

从漏洞业余爱好者到漏洞研究员的转变让我具有独特的观察视角,而我乐于

本文作者目前是微软的一名漏洞研究员,他讲述了将挖洞当作爱好和当作职业的笑与泪,以及一些建议忠告。如下是全文。

我写的通常都是自己挖到的有意思的浏览器 bug,希望能借读者一臂之力,应用这些经验或思路。不过这次我写的是将挖洞作为业余爱好与从事漏洞研究工作的不同之处。下面我将和你分享我的遗憾、惊喜和建议。

从漏洞业余爱好者到漏洞研究员的转变让我具有独特的观察视角,而我乐于