?歐洲交通燈曝出嚴重安全漏洞，可導致道路混亂

德國工業(yè)網(wǎng)絡(luò )安全咨詢(xún)公司ProtectEM在對德國某城市進(jìn)行安全審核時(shí)發(fā)現部署在歐洲道路上的交通信號燈控制器存在一個(gè)嚴重漏洞，可能導致“持續的交通混亂”。

默認情況下，控制交叉路口交通信號燈的硬件調試端口為打開(kāi)狀態(tài)，從而使攻擊者無(wú)需旁路訪(fǎng)問(wèn)控制即可獲得root用戶(hù)訪(fǎng)問(wèn)權限。

該漏洞技術(shù)門(mén)檻較低而且可以遠程利用，其僅是一個(gè)配置錯誤而不是軟件bug。ProtectEM演示了一種利用配置錯誤進(jìn)行自動(dòng)攻擊可能同時(shí)停用所有交通信號燈的情況，交通信號燈將從閃爍的黃燈燈變?yōu)榧t色，這可能導致持續的交通混亂。但不能將所有指示燈設置為綠色，此設置被基本的安全機制阻止了。

通過(guò)路由驅動(dòng)程序來(lái)訪(fǎng)問(wèn)內部設備，就可以訪(fǎng)問(wèn)應用程序控制和I/O級別，無(wú)需特定領(lǐng)域知識，攻擊者只需要具備一般的嵌入式編程和系統技能就可以實(shí)現。

?API的安全危機

1、損壞的對象級別授權：API傾向于暴露那些處理對象識別的端點(diǎn)，造成了廣泛的攻擊面訪(fǎng)問(wèn)控制問(wèn)題；

2、損壞的用戶(hù)身份驗證：身份驗證機制通常實(shí)施不正確，從而使攻擊者可以破壞身份驗證令牌或利用實(shí)施缺陷來(lái)臨時(shí)或永久地假冒其他用戶(hù)的身份；

3、數據泄露過(guò)多：開(kāi)發(fā)人員傾向于公開(kāi)所有對象屬性而不考慮其個(gè)體敏感性，依靠客戶(hù)端執行數據過(guò)濾并顯示；

4、缺乏資源和速率限制：API不會(huì )對客戶(hù)端/用戶(hù)可以請求的資源大小或數量施加任何限制；

6、批量分配：將客戶(hù)端提供的數據綁定到數據模型，而沒(méi)有基于白名；單的適當屬性過(guò)濾；

7、注入：當不受信任的數據作為命令或查詢(xún)的一部分發(fā)送到解釋器時(shí)會(huì )發(fā)生注入缺陷，例如SQL、NoSQL的命令注入等。

?過(guò)去一年半80%的企業(yè)遭受云數據泄露

調查顯示，云安全問(wèn)題正在急劇惡化，在過(guò)去的18個(gè)月中，近80％的公司至少經(jīng)歷了一次云數據泄露，而43％的公司報告了10次或更多泄露。

接受調查的大多數公司已經(jīng)在使用IAM、數據防泄漏、數據分類(lèi)和特權帳戶(hù)管理產(chǎn)品，但仍有超過(guò)一半的公司聲稱(chēng)這些產(chǎn)品不足以保護云環(huán)境，事實(shí)上，三分之二的受訪(fǎng)者將云原生授權和許可管理，以及云安全配置列為高度優(yōu)先事項。

調查反饋，安全相關(guān)的配置錯誤（67％），對訪(fǎng)問(wèn)設置和活動(dòng)缺乏足夠的可見(jiàn)性（64％）以及身份和訪(fǎng)問(wèn)管理（IAM）許可錯誤（61％）是他們最關(guān)注的云生產(chǎn)環(huán)境安全問(wèn)題，有80％的人報告他們無(wú)法識別IaaS / PaaS環(huán)境中對敏感數據的過(guò)度訪(fǎng)問(wèn)，在數據泄露的根源方面，只有黑客攻擊排名高于配置錯誤。

?合法軟件淪為勒索工具

近日，安全團隊發(fā)現一款合法的磁盤(pán)加密軟件BestCrypt Volume Encryption被黑客利用作為勒索工具。

黑客通過(guò)RDP暴破等方式遠程登錄目標服務(wù)器后，上傳合法加密軟件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及腳本文件copys.bat，人工運行BestCrypt Volume Encryption進(jìn)行勒索加密，通過(guò)對磁盤(pán)進(jìn)行加密卸載，然后運行copys.bat復制勒索信息文件到指定目錄并關(guān)機。由于用于加密的是正規軟件而非病毒，整個(gè)過(guò)程不存在病毒文件，通過(guò)文件查殺的方式通常無(wú)法進(jìn)行防御。

勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，應嚴格注意日常防范，不要點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件，盡量關(guān)閉不必要的文件共享權限，更改賬戶(hù)密碼，設置強密碼，避免使用統一密碼。

?安卓手機主流解鎖方法安全性分析

圖案解鎖：用戶(hù)在屏幕上滑動(dòng)出預先設定的線(xiàn)條圖案來(lái)解鎖手機，其強度取決于圖案的復雜程度，圖案模式越簡(jiǎn)單，越容易被他人偷窺或“暴力破解”；

PIN/密碼：在開(kāi)機密碼之外設置SIM卡PIN碼，最大限度防止SIM卡被未授權使用或者復制，四位數密碼聊勝于無(wú)，應當選擇6-8位屏幕解鎖密碼；

指紋識別：指紋識別技術(shù)賣(mài)點(diǎn)五花八門(mén)，但總體上屬于同一種生物識別技術(shù)，指紋識別解鎖依然是公認的最快捷最安全的方式之一，指紋識別并非萬(wàn)無(wú)一失，攻擊者可從照片和其他來(lái)源竊取指紋；

面部識別：面部識別可能是最不安全的技術(shù)之一，2019 年人臉識別技術(shù)相關(guān)的安全和隱私問(wèn)題已經(jīng)多次曝光，盡管普遍認為人臉識別過(guò)程相當復雜，但事實(shí)是它基本上取決于前置攝像頭和某些軟件。

?福昕軟件曝出大量高危漏洞

近日，福昕軟件（Foxit Reader）旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執行漏洞。

據悉，福昕軟件已經(jīng)發(fā)布了補丁，修補了Windows版Foxit Reader和Foxit PhantomPDF中與20個(gè)CVE相關(guān)的嚴重漏洞，其中一些漏洞使遠程攻擊者可以在易受攻擊的系統上執行任意代碼。

Foxit Reader是流行的PDF軟件，其免費版本的用戶(hù)群超過(guò)5億，它提供了用于創(chuàng )建，簽名和保護PDF文件的工具，同時(shí)，PhantomPDF使用戶(hù)可以將不同的文件格式轉換為PDF，除了數以百萬(wàn)計的品牌軟件用戶(hù)外，亞馬遜，谷歌和微軟等大型公司還許可福昕軟件技術(shù)，從而進(jìn)一步擴大了攻擊面。

根據趨勢科技ZDI 漏洞分析，在針對這些漏洞的攻擊情形中，“需要用戶(hù)交互才能利用此漏洞，因為目標必須訪(fǎng)問(wèn)惡意頁(yè)面或打開(kāi)惡意文件” 。

?APP端常見(jiàn)漏洞與實(shí)例分析

1、邏輯漏洞：這類(lèi)漏洞包括水平越權、任意密碼重置、任意用戶(hù)登錄、薅羊毛、驗證碼回傳等漏洞。要仔細觀(guān)察數據在交互的時(shí)候，更改某些參數，返回的數據是否會(huì )發(fā)生改變，或驗證碼回傳，接收短信驗證碼觀(guān)察前端源代碼看短信驗證碼是否存在源碼當中，或是否存在驗證碼生成函數。這類(lèi)漏洞往往會(huì )造成任意大量信息泄露、可登錄任意用戶(hù)賬號執行危險操作等危害；

2、短信驗證碼可進(jìn)行爆破：發(fā)送短信驗證碼時(shí)，如果發(fā)出的驗證碼太短，設置驗證時(shí)間較長(cháng)，且輸入驗證碼次數不限，那么我們就可以進(jìn)行爆破驗證碼；

3、xss漏洞：這類(lèi)漏洞常見(jiàn)于留言、郵件、評論等地方，由于對傳入的內容沒(méi)有進(jìn)行過(guò)濾，導致此漏洞的產(chǎn)生。