本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,任天堂起诉Switch破解工具零售商;两会提案盘点,聚焦网络安全;程序员窃取公司《传奇霸业》源码被判刑;公安网安部门专项整治违法违规APP。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

任天堂起诉Switch破解工具零售商

自从游戏机诞生的那一天起,破解与盗版就是不可避免的话题,特别是在任天堂公司的游戏机上。此前我们就报道过TX团队破解Switch游戏机并高调预售,任天堂官方再次选择使用法律作为武器进行反击,捍卫“游戏界最强法务部”的尊严。诉讼书表明,任天堂希望在这些破解Switch案件中涉及到的每一个非法交易都能获得2500美元(约合人民币17771元)的赔偿。此外,任天堂也正在申请针对这些破解网站进行永久封禁。

timg (3).jpg

两会盘点 | 聚焦网络安全,大佬们带来了哪些提案?

5月21日-22日,全国两会在北京开幕。互联网企业家们已然成为两会的话题之一,作为企业群体的代表,大佬们都带来了哪些提案呢?

360集团董事长周鸿祎提交了四份提案,全都紧密围绕网络安全展开,分别是:

1、尽早构建新基建网络安全防护体系

2、尽快制定《国家5G安全战略》

3、加快推进工业互联网安全保障

4、加强信创网络安全保障能力建设

百度董事长李彦宏同样提交了四份提案,包括个人信息保护、构建人工智能新型基础设施等,其中关于个人信息保护相关的提案是:

1、针对新冠肺炎疫情期间采集的个人信息设立退出机制。

2、加强对已收集数据的规范性管理,最大限度地降低数据泄露、滥用风险。

3、研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。

腾讯董事会主席马化腾提出:

加快推进产业互联网建设的举措与建议。

启明星辰董事长严望佳提出:

安全建设智慧城市

从目前的网络安全提案来看,来自企业的声音正在变得更加多元和丰富,提案质量也在不断提高。今年两会,你最关心的是什么?同样欢迎留言分享。 

QQ图片20200524014037_看图王.png

程序员窃取公司《传奇霸业》源码被判刑

在广州三七互娱,公司后端开发温某在上班期间,以电脑故障需要维修为由,从公司管理员处骗取了电脑机箱锁钥匙,在未经公司许可的情况下,使用 U 盘将电脑主机内的《传奇霸业》网络游戏源代码及部分美术资源文件进行复制,公司进行安全检查时发现《传奇霸业》等程序源文件及大量美术素材被温某某非法访问和复制,遂向公安机关报案。被告人温某因犯非法获取计算机信息系统数据罪,被判处有期徒刑八个月,缓刑一年,并处罚金人民币 2000 元。 

20200518083557_5450.jpg

公安网安部门专项整治违法违规APP

今年第一季度,全国公安机关网安部门充分发挥职能作用,加大公民个人信息保护力度,依法查处违法违规收集公民个人信息App服务单位386个,其中,97个App被予以行政处罚,192个App被依法责令改正违法行为,51个App被下架、停运,有效保护了公民个人信息。其中十大案例涉及“猎豹清理大师”、“印象笔记”、“好孕帮”、“不背单词”等App。 

捕获13213213.PNG

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,雷电3接口曝出无法修复的安全漏洞,数百万设备受影响;GitHub 500GB数据窃贼再出手,出售10家企业7320万条用户记录;工信部发布通报称,当当等16款APP侵害用户权益;世界最大在线沙盒《Roblox》遭黑客攻击。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

雷电3接口曝出无法修复的安全漏洞 数百万设备受影响

近日,安全研究人员通过视频演示了一种名为Thunderspy的快速硬件攻击。该攻击可以轻松绕过英特尔的Thunderbolt雷电安全功能,并允许攻击者从锁定和加密的PC复制内存。在视频中,这位研究人员卸下了电脑的后盖,并将设备连接到受密码保护的笔记本电脑的内部,禁用了它的安全性,整个过程只需要五分钟。几乎所有配备了英特尔雷电接口的设备都容易受到攻击,且无法软件修复。要完全防止这种攻击的唯一方法是,在计算机的 BIOS 中禁用计算机的 Thunderbolt 端口,启用硬盘驱动器加密,并在无人看管时关闭计算机。

捕获21321.PNG

GitHub 500GB数据窃贼再出手 出售10家企业7320万条用户记录

最近Shiny Hunters这个黑客组织异常活跃,前有印度尼西亚电商平台高达9000万条的用户数据泄露,后来又声称要免费公布GitHub 500GB数据源码。然而,他们还没有消停的意思,最近这个黑客组织又高调宣称已经入侵了10家企业的用户数据库并在暗网上出售,这10家公司行业范围波及餐饮食品、教育等领域,数据库总共包含约7320万条用户数据,每个数据库黑客标价18000美元。该组织还在网上分享了窃取数据库的样本,这些数据看似是合法的用户数据,但是并不能完全确认其真实性。如果用户有上述平台的账号,应尽快更改密码,避免财产损失。 

15892710672020.png

工信部:当当等16款APP侵害用户权益

5月15日工信部发布通报称,近期组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。截至目前,还有包括当当、e代驾、好医生、千千音乐、店长直聘、WiFi管家等16款APP未完成整改。上述APP应在5月25日前完成整改落实工作,逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。 

捕获23432.PNG

世界最大在线沙盒《Roblox》遭黑客攻击

作为当前世界最大的大型多人在线游戏平台,《Roblox》一直受到玩家们的喜爱。近期有黑客攻击了该游戏的服务器,靠金钱的力量层层贿赂拿到海量的玩家个人信息,包括用户资料,登录密码,以及身份信息。更让人气愤的是,这个黑客还将此作为BUG上报官方,企图获得奖金,被拒绝后篡改用户数据,盗取物品获利。目前,《Roblox》平台已将此事交给专门的黑客悬赏平台调查,希望能够得到一个好的结果。 

timg (3).jpg

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Nathaniel Wakelam (@nnwakelam),25岁,来自澳大利亚,也就是大家熟知的Naffy,在一家名为Gravity的安全咨询公司担任首席信息安全官。目前Naffy在HackerOne平台的有效提交漏洞为707个,排名第9。据HackerOne透露,Naffy呆在一个地方不会超过30天,不做漏洞众测的时间里,他会随意地去旅游和参加各种聚会。

Naffy在小学时就发现了自己的第一个漏洞,然后在18岁时成为了专职Bug Bounty Hunter,深厚的技术功底让他此前一直占据HackerOne排行榜的前三位置。在2016年8月《卫报》的一篇采访中有这样的几段描述:

这个21岁的年轻人本月共赚到了21,150美金,他在手机里数出了各笔钱的数目,400、400、300、100、1000、3000、4000”、“他每个月赚到的各笔漏洞赏金起伏不定,但平均一年下来,他可以轻松赚到25万美金,他要么在墨尔本的家里工作,也会带着他的苹果笔记本电脑在咖啡店或附近的酒吧工作。

Naffy透露他非常喜欢渗透测试进入一些大型网络,在采访之前,他就成功因此获得了$3,000美金的漏洞奖励。

Naffy还合伙创立了Hackers Helping Hackers社区,引导有技术能力的年轻人入门安全行业,为他们提供职业咨询和技术指导。

观看视频

采访实录

“当初是如何接触到黑客技术的?”

面对测试目标,我喜欢对其攻击面做一些深入研究,了解具体的内部结构和运行原理,尝试判断其网络架构与实际运行上的不一致性,并分析与其具体对应的Web应用。

“漏洞众测对你的生活方式有什么改变?”

到全球各地参与漏洞众测,对我的生活方式确实有一些改变,其实我一直过的是一种比较漂泊的生活,每年我都会毫无规划地去到15到20个国家左右。所以这其中会接触到很多各种各样的人,其中就有一些和我一样的同行白帽安全人士,这非常好。另外我还从中实现了财务自由,不需要过多地去考虑开支问题,可以做到随意地支配生活,这是我觉得非常棒的。

“你如何保持挖洞动力?”

这就要说到挖洞策略了,我觉得首先要,考虑你花时间做这件事,所要实现的具体目的,因为在这行不管做网络安全还是其它,你总得有个实现意义,这里的漏洞众测,作为白帽来说肯定是多找洞多赚钱,其动力肯定有经济驱动因素,当然其中难免会遇到时间精力的投入和最终经济产出不成正比的情况,但如果做这些事是出于兴趣爱好,源自内心热爱,即使最后可能没得到赏金,但也会从中收获到分析研究的乐趣所在,退一步讲如果你研究不通,也能知道自己的薄弱环节和欠缺所在,就要赶紧回头认真学习,认真打好知识基础,从根本上弥补不足,扎实做好挖洞的知识技能储备,因为如果后续你再次面对类似的测试目标时,你就能做到心中有数,可能会从中发现一些相关漏洞,这里我建议大家花时间,多上手练习练习hacker101,它是hackerone运行的一个CTF测试平台,然后多多阅读一些安全书籍,如《黑客攻防技术宝典-Web实战篇》、《Web之困》等等,这是我个人建议。

“你觉得HackerOne的举办赛事活动有何变化?” 

从我参加的一些HackerOne赛事活动来看,比较有印象的是参加DefCon那次,让我能有机会认识很多同行才俊,和大家互相交流探讨,共同测试同一家公司网站,这种感觉让我难以忘怀。总之就是能让大家有那么一个平台,相互切磋,共同进步,这非常棒,直到现在我也非常乐意参加这种活动赛事,因为这在有趣之余既能赚钱也能认识志同道合的朋友,还能发现一些非常酷的漏洞,你可以想像一下,10多个人坐在同一个房间,大家都毫无准备地接受前所未知的测试挑战,只是在一周前通知你来参加,大家都是公平的,这与其它赛事与众不同,如果是20岁的年轻人来参加的话就更有意思了。

“对新手白帽有什么建议?”  

在论坛里我也看到很多关于如何成为一个更好白帽的讨论,以及一些如何实现目标的探讨,其实hackerone平台本身,在这些方面都为大家提供了很多可用资源,但总之如果你真的想从事所擅长的网络安全或其它方面的研究,这多少和每个人具体的,能力或其它因素相关,但是如果你真的想去发现一些高危漏洞,想成为各种邀请赛中的顶尖高手,说到底这都是需要你在所擅长领域投入时间精力的,总之就是一份投入一份收获。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

XSS(跨站脚本攻击)是Web应用程序中最常见的漏洞之一,指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

本期视频为大家介绍什么是XSS漏洞、XSS漏洞有哪些分类、以及如何防范XSS漏洞等问题。最后为了大家能更好的理解XSS漏洞,还为大家提供各种XSS漏洞游戏,一起来挑战吧!

XSS漏洞挑战游戏

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:willhuang,字幕翻译:高佳,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,万豪再次报告数据泄露,涉及520万客人隐私;App Store出现色情应用,已下架;公安部刑侦局提醒预防“二次实名认证”诈骗;Zoom客户端爆出安全漏洞,隐私和安全问题堪忧。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

万豪再次报告数据泄露,涉及520万客人隐私

3月31日,全球最大的酒店集团万豪再次发生了信息泄露事件,大约有520万名客人的姓名、通讯地址、会员账号和其他个人信息遭遇泄露。万豪表示,这起泄露事件的调查正在中,已采取措施确保禁用相关登录凭据,并给已经受影响的房客发送通知邮件,为他们免费提供为期一年的个人信息监测。网友调侃称:贫穷使我安全。

15857193305237.jpg

App Store出现色情应用,社交榜排名27

据燃财经报道,苹果App Store一款社交App充斥着大量色情淫秽内容,年龄分级只有4+。该App在App Store免费社交榜排名27位,应用简介里有着“未满18岁禁入”、“岛国大片”等字样。据悉,该App其主要盈利手段为两种,一种是会员充值;另一种是网页游戏导流分成。评论区不少人称“软件里面都是淫秽内容,希望有关部门尽快解决”、“充钱不给VIP,大家别上当”等,截止发稿日期该应用已下架。 

ti3221mg_看图王.jpg

RSAC 公安部刑侦局提醒预防“二次实名认证”诈骗

广州反诈中心实时警情监测发现:近日,“二次实名认证”诈骗卷土重来。这次受骗者收到的是冒充“95188”发送的短信,而这个号码还确实是支付宝官方客服服务电话,但蹊跷的是,短信内容却是要求对支付宝账户重新进行认证,还附了一个网址链接。一旦点击输入个人信息和验证码,钱就会被快速转走。这里提醒一下:收到包含网页链接的短信后应慎重点击,防止遭遇伪基站、网络钓鱼。 

捕获.PNG

Zoom客户端爆出安全漏洞 隐私和安全问题堪忧

新冠疫情让提供远程会议服务的Zoom成为最受瞩目的科技公司之一,但就隐私和安全性而言,它似乎不够理想。 前有iOS 客户端会将分析数据发送到Facebook而未向用户表明;后有向陌生人公开用户的电子邮件地址和照片,并使陌生人能够尝试通过Zoom与他们进行视频通话。而近日Windows 版 Zoom 客户端又爆出了容易受到 NUC 路径注入攻击的安全漏洞。与此同时,Zoom也迎来了纽约总检察长办公室的数据隐私和安全规范的审查。 

f0b9-irpunai2666020.png

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Thomas DeVoss(@dawgyg),昵称Tommy,现为Synack Red Team安全工程师兼自由Bug Bounty Hunter,Nissan天际线跑车(Skyline)收藏发烧友,也是Yahoo、Mail.Ru、Mapbox、Imgur、GM、Adobe、AOL等多家知名公司的多个重要漏洞发现者。

Tommy一直都是HackerOne、Bugcrowd和Synack众测平台的高产白帽,能在短时间内发现多个严重漏洞,曾入选多家知名厂商漏洞测试名人堂,是2017年HackerOne Top 25黑客之一。Tommy现在HackerOne的有效发现漏洞为387个,排名第24位。本本期视频我们跟随彭博科技频道(Bloomberg Technology)记者来感受一下Thomas DeVoss的珍藏跑车、丰厚赏金和可爱女儿。

青年时期的Tommy作为美国黑客团体World of Hell的组织者,因入侵美国军方和政府电脑两次被捕成为重罪犯,后在2005年被判两年半监禁。出狱之后,如Tommy再用电脑犯法,将会被终身监禁。之后,Tommy从小公司的底层系统管理员做起,不断学习安全技术,并尝试开展漏洞众测项目(Bug Bounty),利用黑客技术以合法方式挖洞赚钱。去年3月,Tommy跻身HackerOne的六位百万美元白帽黑客行列。

采访中,Tommy透露是女儿给了他无穷的动力,因为热爱安全,他还将继续在这条路上走下去。

“我余生中最重要的就是,和女儿在一起了,除此之外没什么是我认为值得的,女儿是我在这个世界上最重要的人,她无比重要。” 

观看视频

采访实录

“有人认为你做这行是在干坏事吗?”

有的,有人就曾这样问我:“我怀疑我男友在欺骗我的感情,请你帮我把他的手机黑了,我想看他在搞什么。“

“你通过漏洞测试获得的最大一笔赏金有多少?”

单个漏洞两万美金吧。

“赚的最多的一天是?”

去年十月的某天赚了16万美金,我记得当时只花了大概3到4小时的实际工作时间。

“所以如果平均算下来你一周正常的这种测试工作时间是多少小时?” 

五到十小时。

“那去年你一共赚的漏洞赏金有多少?”  

算过去的一年,应该是63万6千美元。

“那你认为是什么让你如此擅长做这种安全测试?”   

因为我一直以来都在做这行。我们当时黑进了NASA的电脑,黑进了美国法院和能源部的电脑系统,按理说这些政府部门有充足的财政预算,其信息系统应该非常安全,但并不是这样。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Cody Brocious 有超过15年的信息安全研究和教育经验,主要研究方向为硬件逆向和软件开发,其于2010年破解了加州神经科技公司Emotiv Systems的头戴式意念控制器 Emotiv EPOC,获取了设备中加密传感数据的AES密钥,后发布了“硬件黑客宣言”,阐述自己做硬件安全的初衷和目的。

另外在2012年黑帽大会中,Cody还披露了流行酒店门锁设备Onity HT的安全漏洞,利用不到50美元的开源硬件即可瞬间开锁,影响全球数百万家酒店。Cody在NCC Group、Mozilla、Accuvant等多家安全公司历练,并于2017年至2019年9月任职HackerOne的知名在线教育平台Hacker101主管,负责Hacker101的CTF和Web安全培训。

观看视频

采访实录

“和我们聊聊Hacker101平台?”

Hacker101是HackerOne的线上教育资源平台,其实它的前身是我开发的,之前叫breaker101,后来被HackerOne收购了,成为了一个免费的在线课程,目的在于让所有人都能学习到安全技术。在上面我们设置有CTF培训视频,和一些线下现场辅导或白帽社区开放日相关的面对面授课。拿我在HackerOne的这两年来说,我接触见识了很多厉害的白帽黑客,这些黑客在不断成长的同时,也带动吸引了更多人参与到hacker101中来。我见证了很多白帽从hacker101学习起步,到真正有所收获,再到最终发现了一些厉害漏洞的过程,更重要的是在他们的带动下,白帽社区有更多的人加入进来,让我们不断促进完善这个平台,实现真正为大家服务的目的,这也是我所希望的。

“你当初是如何接触到安全技术的?”

最早的启蒙是幼儿园或一年级的时候,我记得当时教室里有一台Apple 2E电脑,恰巧我在图书馆发现了一本Basic的编程书,然后就自己尝试着去编代码,之后又玩了一些线上黑客游戏,后来在12岁的时候完全入迷了计算机世界,很少和小伙伴们出去玩耍,除非他们和我有相同的计算机爱好。

“你2010年写”硬件黑客宣言”的动机是什么?”

其实”黑客宣言”最早流行于1986年,是当时一个昵称为The Mentor小子写的,他说他成长于一个小城镇,好像是德克萨斯州,他觉得他热爱电脑,探索IT世界的好奇和兴趣完全被压抑了,于是他就以宣言的方式表达不满,这激励了我。我是上初中时看到了这个”黑客宣言”的,它确实改变了我的认知,让我知道我并不孤单,还有很多像我这样的人。对未知的探索绝对是有意义的,这些感想让当时在宾夕法尼亚小镇的我收获了很多。我的”硬件黑客宣言“是在2010年左右写的,而现在我的研究方向是脑机接口,类似于脑电图设备,比如可以通过头部的穿戴式装置用脑电波意识去操控游戏,这是一种基于原始意念的研究,有各种可能,这里的硬件作用在于可以获取到脑机交流的所有原始数据,但前提是你得出个三五千美金来买到这些设备做研究。例如在我的研究过程中有意思的是,我在某个周末,用了一个三百美金的设备,就能实现对任意数控设备的控制。就比如在轮椅上瘫痪的人,他希望别人对他伸出援手,那么我的这种研究,对他的生活体验来说非常有帮助有意义,他也完全没必要去花费两三万美金再购买其它高额的辅助性商品。我的方式只是对用户原有产品的一种破解和突破,但是卖产品的公司就不乐意了,他们跳出来说我涉及对他们的硬件侵权。我感觉这非常荒谬,因此最终我也停止了对”硬件黑客宣言“的更新,我写那个的目的在于致敬早期的黑客宣言,而且还真实表达出了我破解硬件探索未知的一些权利。

“你选择做硬件黑客的初衷是什么?” 

对我而言,能授权做硬件安全测试,是一件非常美妙的事,因为这样可以不受限制地测试把玩,这对我来说是意义所在,尽管我也爱财,但我不会出于利益目的而随意测试,更多的出发点是基于好奇心。一旦我兴致大发,完全能做到三天不怎么睡觉去研究,去彻底弄清其中原由,这我是最开心的事情了,因为我希望尽可能多地去发现目标授权测试硬件的更多相关功能和信息,当然厂商对我的发现和测试结果,最后也是需要付费的。付出和收获的过程能让我开心,也让我对未来的安全观抱有希望。

“对新手白帽们有什么建议?”  

我最大的建议就是,搞清楚你喜欢的方向,以兴趣为驱动去研究,只有这种基于兴趣的用功,才能发现更多的更好的漏洞,才能赚到更多的赏金,也才能享受其中且乐此不彼。在白帽社区中,对倦怠感的谈论和提及并不多,而其实我们很多人都有这种感受,因此,如果你做的是兴趣所在,且对此不亦乐乎,那么就会远离倦怠。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

本课程是HackerOne出品的Web安全免费在线课程(Hacker101),以“LEARN HOW TO HACK”为主旨,包含了相关的视频、资源和动手实验,目的在于教授Hacking思维和知识,入门Bug Bounty Hunter(漏洞赏金猎人)。课程内容涵盖了XSS、SQL、会话劫持、文件包含等当前流行漏洞的分析,另外还涉及漏洞报告、加密解密、BurpSuite使用和移动端APP测试分析等版块。总体来说,Hacker101是安全初学者入门提高的理想选择,无论你是对漏洞众测(Bug Bounty)感兴趣的程序员,还是经验丰富的安全专家,都会在Hacker101课程中有所收获。

本节课程,我们继续来学习Hacker101的视频课程。今天介绍文件上传、终止符bug和未经检查重定向三个漏洞,主要围绕该三个漏洞的成因、漏洞利用和缓解防护等方面来讲解。

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,微盟员工删库跑路,公司市值暴跌10亿;迪卡侬数据库泄露了1.23亿员工的数据;RSAC 2020于旧金山举行,大会主题:Human Elements;FreeBuf发布《2020国内WAF产品研究报告》。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

微盟员工删库跑路,公司市值暴跌10亿

2月23日晚,微盟公司的SaaS业务突然崩溃,基于微盟的商家小程序都处于宕机状态。随后微盟官方发布公告称:本次故障是由微盟核心运维人员的恶意破坏导致。受删库事件影响,微盟股价24日出现下跌,仅在这一天时间内,蒸发的市值超过10亿港元。2月27日,微盟创始人孙涛勇回应员工删库表:企业都有至暗时刻,不落井下石是道德。

v2-de4af43bc30c08123a71d03c4feeaed2_r_看图王.jpg

迪卡侬数据库泄露了1.23亿员工的数据

近期,体育连锁巨头迪卡侬发生大范围数据泄露,起因是1.23亿条记录被保存在一个并不安全的数据库中。泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等。该数据库漏洞于2月12日被发现,迪卡侬于2月16日得到通知,随后数据库于2月17日下线。 

QQ图片20200227171445.jpg

RSAC 2020于旧金山举行,大会主题:Human Elements

美国时间2月24日-28日,RSA 2020在在旧金山拉开帷幕。今年大会以“Human Elements”为主题,聚焦与“人”相关的元素对网络安全产生的影响。作为网络安全行业风向标,从1991年至今,RSA大会已经走过29个年头。大会主题一年一变,从去年的“Better”变为“Human Element”,意味着人在未来安全行业发展中将发挥不可或缺的作用。想要了解更多大会详情,请关注FreeBuf RSAC 2020专题报道,图文直播带你亲临现场。。 

捕获34_看图王.png

FreeBuf发布《2020国内WAF产品研究报告》

近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一,75%网络攻击都是发生在Web应用层。而WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中最重要的一环。近期,FreeBuf发布了《2020国内WAF产品研究报告》,针对企业面临的Web安全问题、部署WAF的业务场景和使用现状加以分析,推出国内主流WAF产品名录,为企业选择WAF产品提供参考,扫描下方二维码即可下载完整版报告。 

QQ图片20200229024606_看图王.png

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Zhi Wei Eugene(@spaceraccoon),24岁新加坡人,2018年毕业于耶鲁大学计算机系和历史系,现服役于新加坡武装部队通信指挥连,拥有OSWE(Offensive Security Web Expert)和高级React认证,并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习,Zhi Wei Eugene具备流利的中文、英文和马来语听说能力,在HackerOne平台上报的有效漏洞为174个。

2019年8月,Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非常热爱学习,并热衷于应用安全和用户数据安全方面的研究。

观看视频

采访实录

“最早你是如何接触到黑客技术的?”

这缘于新加坡新加坡政府科技局(GovTech),因为我是新加坡人,新加坡政府科技局和网络安全局有合作,他们当时举办了一个漏洞众测项目,我也就参赛了,上报了一个漏洞被评定为重复报,有点失望,但我下定决心之后要好好表现。所以自此我加入了hacker101,在线随老师Cody Brocious做完了所有的CTF题目,钻研了所有我想学习的技术,三个月后我收获了人生中的第一笔漏洞赏金,第二个月又什么都没发现,但之后每个月都有所收获,慢慢开始有起色,所以我希望自己能,继续坚持保持动力。

“发现漏洞时是什么感受?”

太美妙了,呵呵,因为我还是一名应征服役的士兵,平时没太多时间做漏洞测试,只会在每周末回家的日子,有三个晚上自由时间才能摆弄电脑,那个时候我就会想,多去以不同角度测试一些不同漏洞,若一有发现,那种感觉非常开心。因为每晚我只有不到三小时的时间,如果能发现漏洞,确实对自己的白帽之路是种鼓励。

“用漏洞赏金购买过什么好物?”

我觉得我用赏金买过的好物应该是……,它给了我一些自由支配空间,我是一个有同情心的人,我把它捐献给了我国的一个爱心组织,以此去鼓励更多的人学习科技知识,比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已,但我知道好多白帽非常慷慨,他们更愿意出钱出力去帮助那些有才的后起之秀,让他们能投身于网络安全行业。

“你如何保持动力?” 

做为一名士兵,服从纪律就是天职,但是平时我又时间有限,只有在周末或是节假日回家才能做漏洞测试,所以我必须充分运用空闲时间,如果选定了一个测试目标,就会坚持一步步开展,我觉得这种良好的自律习惯也是我在部队学习养成的。

“你为什么选择HackerOne平台做众测?”  

一开始是因为hacker101的缘故,我是由它而认识了HackerOne平台的,虽然我注册了其它众测平台,但hacker101能让我直接关联到HackerOne平台,而且在我完成了所有的在线CTF题目后,它还会推送一些HackerOne的邀请测试给我,所以从那个时候起我就认定HackerOne平台了。

“做漏洞测试遇到过什么好运?”  

因为我的第一个有效漏洞是IDOR类型,我一直感觉我与IDOR漏洞比较有缘,这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样,由于IDOR漏洞是我的第一个有效漏洞,至少我认为它是开启我漏洞测试的一个转折点吧。

“对新手白帽有什么好的建议?”  

我只想说的是,漏洞众测社区的力量非常强大,做为个人来说不要闭门造车,在自我学习钻研的同时,你还可以借助社区力量,比如多学习学习hecker101资源,去Twitter浏览安全信息,遇到问题多与其他同行交流学习,我认为大多数人都会乐于伸出援手帮助别人的。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM