Aggregator

こんにちは、村木ゆりかです。 マイクロソフト社では、100 以上の国に約 15 万人の社員が在籍し、社内 IT 環境

JetBrains系列IDE存在“本地文件泄漏”和“远程代码执行”漏洞，一起来看下漏洞的发现过程。

详细参数说明： 当把shellcode写入代码shellcode变量的时候，输入-bin shellcode.bin 将生成二进制文件数据流。 当需要把二进制数据流转换成hex(16进制的时候)输入-hex shellcode.bin hex.hex 具体请看代码。这是博主自己的学习笔记，请勿喷。

F5 Labs analysts discovered a target pattern in the IBAN number formats as well as weekly changes to the script injection content. In May 2016, the F5 Security Operations Center (SOC) detected a generic form grabber and IBAN (International Bank...

Verisign just released its Q2 2016 DDoS Trends Report, which provides a unique view into online distributed denial of service (DDoS) attack trends from mitigations enacted on behalf of customers of Verisign DDoS Protection Services and research conducted by Verisign iDefense Security Intelligence Services. Every industry is at risk as DDoS attacks continue to increase in […]

The post Verisign Q2 2016 DDoS Trends: Layer 7 DDoS Attacks a Growing Trend appeared first on Verisign Blog.

EnCE和ACE由于其所属公司取证产品EnCase和FTK的广泛认可度，成为职场上广受推崇的两个认证，认证人数也在持续增长。

F5 CISO Mike Convertino on things to keep in mind when developing a security approach to overcome the lack of visibility in the cloud. When Securing Your Applications, Seeing is Believing

最近，我们的网络监测设备（ATP高级威胁检测系统）中发现了revslider.zip文件，解压后的两个php文件mil.php，pbot.php都经过了编码处理，非常可疑。搜索revslider关键字能找到freebuf上的一篇文章

HEIST is an example of how risk and threat are different, and why the distinction matters.

洪荒是谁？来出力么？[email protected]等着你！

Flanker暴走Vegas，介绍各个议题、趣闻和沙龙，分享演讲经验

电子数据取证对于取证人员的经验和专业素养有着极高的要求,而目前国内在这方面的培训和认证尚处于起步阶段。

This blog was written by Richard Steranka. Today, from Black Hat 2016 in Las Vegas, CompuCom announced the expansion of...

The post CompuCom Launches Cloud-Based Managed Service Powered by McAfee appeared first on McAfee Blog.

试着就孟加拉银行劫案里出现的问题，从防守方来看还可以做些什么加强。

Malicious actors and eavesdroppers are forcing Internet communication into a single cryptographic protocol: SSL.

Hi There! In November 2014, the United Nations Organization (UNO) declared 15th July as World Youth Skills Day. The purpose...

The post Cybersecurity to become a major employment generator – Are you ready? appeared first on McAfee Blog.

台灣電商網站蓬勃發展，豐富的個資、金流都吸引了攻擊者。近期刑事局 165 反詐騙網站上常看到很多電商網站面臨個資外洩的問題，新聞也不斷報導民眾因為個資外洩被詐騙集團騙取錢財。資安問題是電商業者面臨到最大的危機，民眾也很憤怒為什麼這些企業都不肯把資安做好。但我相信，電商網站的業主也是有苦難言。不少企業知道該把資安做好，有些可能不得其法，也可能什麼都做了，卻還是無法防止自己的網站出現在 165 詐騙排行的榜單上。

• 內政部警政署 165 反詐騙諮詢專線 民眾通報高風險賣場排名 http://165.gov.tw/loss_rank.aspx

對於無心於資安的業者來說，被揭露這樣的資訊會有一定程度的力量迫使他們把資安做好。但對於已經顧全資安的業者來說，則是摸不著頭緒到底個資從哪邊外洩的。今天我們就來談談，到底電商網站的資安問題是什麼，民眾的個資又是怎麼外洩的。

電商網站的困境

目前電商網站常見的困境有幾點：

1. 自行開發網站存在漏洞
2. 委外開發網站存在漏洞，但承包商不處理
3. 內部員工電腦遭入侵外洩個資
4. 配合廠商個資外洩，如金流商、物流商
5. 攻擊者用已外洩帳號密碼登入電商網站
6. 買家在詐騙集團的賣場交易

黑色產業的發展比大家想像中都還要盛行，若企業對攻擊者來說有利可圖，駭客組織會不擇手段入侵取得資料。因此對網站本身、網站周遭系統、企業內部員工、或者以社交工程手法，只要能取得資料都會是他們下手的目標。

自行開發網站存在漏洞

這是目前企業最需要先解決的問題。若網站本身資安體質不好，則會輕易被攻擊者入侵。資安問題往往都是企業內部最難解的問題，道高一尺魔高一丈，若沒有經過完整的滲透測試，則難以找出問題的根源。找到了問題之後，開發人員的教育訓練、資安機制、資安設備，都會是企業接下來要面對的課題。

解決方案：滲透測試、資安顧問、教育訓練

委外開發網站存在漏洞，但承包商不處理

不少企業沒有自己開發網站，而是發包給外部廠商開發、維運。承包商的品質通常難以掌控，價格戰的業界生態，更讓開發的品質難以提升。但業者最頭大的是：承包商拒絕處理漏洞。若沒有在一開始的委外合約就明訂資安維護標準，在日後發生資安事件時則難以要求承包商修補漏洞。因此建議業者在日後的委外開發案，明訂資安標準、驗收時檢附第三方滲透測試報告，並且將日後資安維護合約獨立於一般維護約之外，強制執行。

解決方案：選商標準、開標規格、驗收標準、資安維護合約

內部員工電腦遭入侵外洩個資

除了伺服器之外，客戶端也是攻擊者下手的目標。當網站難以被入侵，攻擊者就會轉往員工電腦下手。透過社交工程、搭配惡意郵件等 APT 攻擊，入侵個人電腦後取得消費者個資，甚至做為跳板滲透企業內部擴大攻擊成果。若沒有足夠的資安意識，員工將會是企業最大的資安缺口。

解決方案：強化資安思維、權限最小化、APT 防禦

配合廠商個資外洩，如金流商、物流商

當企業裡裡外外都防禦好了，個資還在外洩，到底發生什麼事情了呢？別忘了一個電商網站有各種與外界橋接的服務，例如交易的金流、運輸的物流。若搭配的外部系統遭到入侵，個資一樣會被取得。但民眾、媒體只會覺得「我在這家電商平台買東西被詐騙」，而怪罪到企業本身。企業有責任要求配合的廠商一同將資安、個資把關好。

解決方案：配合廠商的資安規範、滲透測試

攻擊者用已外洩帳號密碼登入電商網站

資安的責任並不僅在企業，有的時候消費者本身帳號的安全也會影響到電商網站的清譽。目前民眾只要接收到詐騙電話，直覺都會是在某個店家的交易被駭，被取得資料後販售給詐騙集團，因而回報給 165 等反詐騙專線。這種案例也會算在電商網站的帳上，但卻不一定是電商網站的問題。這樣的攻擊手法也俗稱「撞庫」。

解決方案：企業間的聯防、提供使用者帳號保護

買家在詐騙集團的賣場交易

只要有利可圖，詐騙集團就會無所不用其極的想獲取利益。當系統已經達成基本的安全、使用者外洩的帳號也已經無法利用之後，詐騙集團將再攻擊人性的漏洞，開設販賣熱門商品的賣場，吸引無辜的受害者購買。或者在賣場的留言區塊假冒賣家，留下自己的 LINE 與消費者溝通，進行詐騙。

解決方案：消費者安全宣導

電商業者該如何自保？

只要有利益的地方，就會有資安危機。雖說道高一尺魔高一丈，但業者並非只能等著被宰。經營網站最重要的就是保護顧客的資料，明白風險的所在。盤點手上的個資位置、機制、措施，謹慎安排資安規劃，確保將安全的風險降到最低。更進一步也可以建立與資安人員良好的關係，公開漏洞通報管道及獎勵機制，鼓勵資安人員優先通報漏洞給企業，避免流入黑色產業。當然，身為消費者的我們，也應該給予負責的企業掌聲。

在未來我們的文章將提到企業應該採取的具體作為，敬請期待！

第二届HITS峰会，19家业界领先的欧美安全厂商及企业围绕云安全、安全的visibility、CASB、认证、安全运营等热门的安全话题展开了20个议题和1场圆桌讨论。