?歐洲交通燈曝出嚴(yán)重安全漏洞，可導(dǎo)致道路混亂

德國工業(yè)網(wǎng)絡(luò)安全咨詢公司ProtectEM在對德國某城市進(jìn)行安全審核時發(fā)現(xiàn)部署在歐洲道路上的交通信號燈控制器存在一個嚴(yán)重漏洞，可能導(dǎo)致“持續(xù)的交通混亂”。

默認(rèn)情況下，控制交叉路口交通信號燈的硬件調(diào)試端口為打開狀態(tài)，從而使攻擊者無需旁路訪問控制即可獲得root用戶訪問權(quán)限。

該漏洞技術(shù)門檻較低而且可以遠(yuǎn)程利用，其僅是一個配置錯誤而不是軟件bug。ProtectEM演示了一種利用配置錯誤進(jìn)行自動攻擊可能同時停用所有交通信號燈的情況，交通信號燈將從閃爍的黃燈燈變?yōu)榧t色，這可能導(dǎo)致持續(xù)的交通混亂。但不能將所有指示燈設(shè)置為綠色，此設(shè)置被基本的安全機(jī)制阻止了。

通過路由驅(qū)動程序來訪問內(nèi)部設(shè)備，就可以訪問應(yīng)用程序控制和I/O級別，無需特定領(lǐng)域知識，攻擊者只需要具備一般的嵌入式編程和系統(tǒng)技能就可以實(shí)現(xiàn)。

?API的安全危機(jī)

1、損壞的對象級別授權(quán)：API傾向于暴露那些處理對象識別的端點(diǎn)，造成了廣泛的攻擊面訪問控制問題；

2、損壞的用戶身份驗(yàn)證：身份驗(yàn)證機(jī)制通常實(shí)施不正確，從而使攻擊者可以破壞身份驗(yàn)證令牌或利用實(shí)施缺陷來臨時或永久地假冒其他用戶的身份；

3、數(shù)據(jù)泄露過多：開發(fā)人員傾向于公開所有對象屬性而不考慮其個體敏感性，依靠客戶端執(zhí)行數(shù)據(jù)過濾并顯示；

4、缺乏資源和速率限制：API不會對客戶端/用戶可以請求的資源大小或數(shù)量施加任何限制；

6、批量分配：將客戶端提供的數(shù)據(jù)綁定到數(shù)據(jù)模型，而沒有基于白名；單的適當(dāng)屬性過濾；

7、注入：當(dāng)不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解釋器時會發(fā)生注入缺陷，例如SQL、NoSQL的命令注入等。

?過去一年半80%的企業(yè)遭受云數(shù)據(jù)泄露

調(diào)查顯示，云安全問題正在急劇惡化，在過去的18個月中，近80％的公司至少經(jīng)歷了一次云數(shù)據(jù)泄露，而43％的公司報告了10次或更多泄露。

接受調(diào)查的大多數(shù)公司已經(jīng)在使用IAM、數(shù)據(jù)防泄漏、數(shù)據(jù)分類和特權(quán)帳戶管理產(chǎn)品，但仍有超過一半的公司聲稱這些產(chǎn)品不足以保護(hù)云環(huán)境，事實(shí)上，三分之二的受訪者將云原生授權(quán)和許可管理，以及云安全配置列為高度優(yōu)先事項(xiàng)。

調(diào)查反饋，安全相關(guān)的配置錯誤（67％），對訪問設(shè)置和活動缺乏足夠的可見性（64％）以及身份和訪問管理（IAM）許可錯誤（61％）是他們最關(guān)注的云生產(chǎn)環(huán)境安全問題，有80％的人報告他們無法識別IaaS / PaaS環(huán)境中對敏感數(shù)據(jù)的過度訪問，在數(shù)據(jù)泄露的根源方面，只有黑客攻擊排名高于配置錯誤。

?合法軟件淪為勒索工具

近日，安全團(tuán)隊(duì)發(fā)現(xiàn)一款合法的磁盤加密軟件BestCrypt Volume Encryption被黑客利用作為勒索工具。

黑客通過RDP暴破等方式遠(yuǎn)程登錄目標(biāo)服務(wù)器后，上傳合法加密軟件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及腳本文件copys.bat，人工運(yùn)行BestCrypt Volume Encryption進(jìn)行勒索加密，通過對磁盤進(jìn)行加密卸載，然后運(yùn)行copys.bat復(fù)制勒索信息文件到指定目錄并關(guān)機(jī)。由于用于加密的是正規(guī)軟件而非病毒，整個過程不存在病毒文件，通過文件查殺的方式通常無法進(jìn)行防御。

勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，應(yīng)嚴(yán)格注意日常防范，不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件，盡量關(guān)閉不必要的文件共享權(quán)限，更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一密碼。

?安卓手機(jī)主流解鎖方法安全性分析

圖案解鎖：用戶在屏幕上滑動出預(yù)先設(shè)定的線條圖案來解鎖手機(jī)，其強(qiáng)度取決于圖案的復(fù)雜程度，圖案模式越簡單，越容易被他人偷窺或“暴力破解”；

PIN/密碼：在開機(jī)密碼之外設(shè)置SIM卡PIN碼，最大限度防止SIM卡被未授權(quán)使用或者復(fù)制，四位數(shù)密碼聊勝于無，應(yīng)當(dāng)選擇6-8位屏幕解鎖密碼；

指紋識別：指紋識別技術(shù)賣點(diǎn)五花八門，但總體上屬于同一種生物識別技術(shù)，指紋識別解鎖依然是公認(rèn)的最快捷最安全的方式之一，指紋識別并非萬無一失，攻擊者可從照片和其他來源竊取指紋；

面部識別：面部識別可能是最不安全的技術(shù)之一，2019 年人臉識別技術(shù)相關(guān)的安全和隱私問題已經(jīng)多次曝光，盡管普遍認(rèn)為人臉識別過程相當(dāng)復(fù)雜，但事實(shí)是它基本上取決于前置攝像頭和某些軟件。

?福昕軟件曝出大量高危漏洞

近日，福昕軟件（Foxit Reader）旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠(yuǎn)程代碼執(zhí)行漏洞。

據(jù)悉，福昕軟件已經(jīng)發(fā)布了補(bǔ)丁，修補(bǔ)了Windows版Foxit Reader和Foxit PhantomPDF中與20個CVE相關(guān)的嚴(yán)重漏洞，其中一些漏洞使遠(yuǎn)程攻擊者可以在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件，其免費(fèi)版本的用戶群超過5億，它提供了用于創(chuàng)建，簽名和保護(hù)PDF文件的工具，同時，PhantomPDF使用戶可以將不同的文件格式轉(zhuǎn)換為PDF，除了數(shù)以百萬計(jì)的品牌軟件用戶外，亞馬遜，谷歌和微軟等大型公司還許可福昕軟件技術(shù)，從而進(jìn)一步擴(kuò)大了攻擊面。

根據(jù)趨勢科技ZDI 漏洞分析，在針對這些漏洞的攻擊情形中，“需要用戶交互才能利用此漏洞，因?yàn)槟繕?biāo)必須訪問惡意頁面或打開惡意文件” 。

?APP端常見漏洞與實(shí)例分析

1、邏輯漏洞：這類漏洞包括水平越權(quán)、任意密碼重置、任意用戶登錄、薅羊毛、驗(yàn)證碼回傳等漏洞。要仔細(xì)觀察數(shù)據(jù)在交互的時候，更改某些參數(shù)，返回的數(shù)據(jù)是否會發(fā)生改變，或驗(yàn)證碼回傳，接收短信驗(yàn)證碼觀察前端源代碼看短信驗(yàn)證碼是否存在源碼當(dāng)中，或是否存在驗(yàn)證碼生成函數(shù)。這類漏洞往往會造成任意大量信息泄露、可登錄任意用戶賬號執(zhí)行危險操作等危害；

2、短信驗(yàn)證碼可進(jìn)行爆破：發(fā)送短信驗(yàn)證碼時，如果發(fā)出的驗(yàn)證碼太短，設(shè)置驗(yàn)證時間較長，且輸入驗(yàn)證碼次數(shù)不限，那么我們就可以進(jìn)行爆破驗(yàn)證碼；

3、xss漏洞：這類漏洞常見于留言、郵件、評論等地方，由于對傳入的內(nèi)容沒有進(jìn)行過濾，導(dǎo)致此漏洞的產(chǎn)生。