活活将黑产搞崩溃的教务系统,你的母校可能在列 界内新闻

活活将黑产搞崩溃的教务系统,你的母校可能在列

院校政府网站一直是黑产眼中的金矿,但作为高校教务系统重要一环,选课系统却鲜有黑产惦记。这背后到底有哪些鲜为人知的故事呢? 我们有幸邀请到曾在某985教务处任职的A君,以及大学生代表B妹,围绕最近微博热议的高校选课系统,聊聊事件背后一些有趣的故事。微博某大V在上周发布了一篇有关高校选课的内容,一经发出引发各大各校应届与往届学生群体热议。大家声泪俱下,纷纷吐槽母校奇葩的选课网站以及APP。为此,Magiccc还专门针对各大高校选课网站以及APP做了简单的评测,并整理了个榜单。这里就不细表,大家感兴趣的可以回复“榜单”获取,看看自己的母校是否在列。 一、当前各大高校的选课系统是否存在选课难...
最新
阅读全文
ES文件管理器现严重漏洞,建议用户及时更新 界内新闻

ES文件管理器现严重漏洞,建议用户及时更新

近日,一款知名软件 ES 文件管理器被曝出有重大漏洞,能够导致用户手机上的文件泄漏给同一网络下的所有用户。据悉ES文件管理器在Google Play上的下载次数已经超过1亿次,用户量非常惊人。 国外安全研究员Elliot Alderson率先在推特上指出了该漏洞。他解释称,每次用户启动该应用时,都会启动http 服务器,在本地会打开端口 59777。通过这个端口,攻击者可以注入JSON有效负载,获得相关用户手机上的文件信息,并且可以直接下载下来。 具体演示视频如下: 庆幸的是,在得知该漏洞之后,ES文件管理器的开发人员很快就修复了这个漏洞...
阅读全文
AI和网络安全工作的未来 界内新闻

AI和网络安全工作的未来

从1955年开始,劳动力和自动化之间的关系就一直非常的紧张,这种紧张的关系不仅可以从大量政治经济学学术文献中找到描述,而且它还点燃了世界上很多次的劳动斗争。 比如说英国手工业的路德派(Luddite,1811年至1816年期间)就是一个以纺织工人组成的反对工厂机械化的团体,他们的原则就是反对机械化参与到手工业中,因为一旦机器进入到手工业,将直接导致工人的利益受到影响,所以他们认为这是一种对工人阶级的剥削。因为在此之前,工人们可以通过提升技术和生产效率来获取更高的工资,而机械自动化的加入将直接威胁他们的饭碗。 我们现在生活在一个科技技术急速扩张的时代,...
阅读全文
密码朋克的社会实验(一):开灯看暗网 界内新闻

密码朋克的社会实验(一):开灯看暗网

前言 本年度最严重的几次数据泄漏,都指向了同一个词——「暗网」。在中文的语境里,这是一个犹如「月黑风高夜」般的词汇,透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词,则非「黑客」莫属。「黑」与「暗」的组合,意味着高超的匿名和隐身技巧,令人忍不住想揭开它精巧的面纱。 暗网是什么 要解释暗网,先给整个互联网做一个简单的分层定义,如图: 表网(Surface Web) 通常认为,普通用户或者搜索引擎能直接访问的内容属于表网。表现形式为网页或者 APP 提供的内容。 深网(Deep Web) ...
阅读全文
QQ二十年沉浮起落,黑产从未缺席 界内新闻

QQ二十年沉浮起落,黑产从未缺席

“今天是马化腾生日,将此消息转发到五个QQ群,就会送你两个太阳,我试过了,是真的。” “我也试过了,是假的。” 1999年QQ问世,到现在20年了。马化腾的生日到底是什么时候,你知道了吗? 20年,QQ记录了80、90的青涩与青春。曾经追捧过的葬爱家族,偷过的菜,改过的签名,装扮过的空间,花重金买过的QQ秀,都成了一代人的记忆。 20年,QQ发展高潮迭起,一路高歌猛进,打开了即时社交的大门。但与此同时,黑产也嗅着利益的味道向我们走来,在这场网络社交变革的浪潮里,他们迅速的成长壮大起来。 QQ中的那些黑产 ...
阅读全文
学霸搞黑产惊动教育圈,涉案金额高达6个亿 界内新闻

学霸搞黑产惊动教育圈,涉案金额高达6个亿

前段时间,北京市海定区人民检察院出了一个《网络安全刑事司法保护白皮书》,根据里面的统计结果目前的黑产犯罪大部分还是呈现低龄、低学历的特征。但是下面要讲的这个故事,学霸来搞黑产,听说一次就捞了6个亿,咱一起瞧瞧去~ 『 教材涉黄还了得?』 2017年3月初,武汉市公安局网安支队接到了一条让人意外的举报线索。  举报人说,自己在查看高中语文选修教材《中国古代诗歌散文欣赏》时,浏览了其中一个参考链接,准备仔细学习一番,结果出来了“不可描述”的画面。。。  书是长这样的,和我们之前用的一毛一样。 参考网址页面出来大概是这样...
阅读全文
剁手结束,快递背后的黑产狂欢才刚开始 界内新闻

剁手结束,快递背后的黑产狂欢才刚开始

昨天双十一,想必大家都是彻夜备战,在11日凌晨0点02分05秒,2018天猫双十一全球狂欢节成交额就突破了100亿元人民币。我们手剁完了坐等快递来,但是黑产的狂欢似乎才刚刚开始。 命途多舛的快递er 这双十一刚结束,我们的狂欢才刚开始,毕竟拿到手的快递才是宣告胜利品来临的标志嘛。但是天有不测风云,或许你见过这样的惨剧…… -您的快递正在燃烧 -更新:您的快递已烧毁 -再更新:您的快递已烧成灰… 但是现在,除了上述的不可抗力因素影响,黑产也开始在快递物流背后捞钱….. “0...
阅读全文
MacOS再次出现漏洞,号称牢不可破的系统也有弱点 界内新闻

MacOS再次出现漏洞,号称牢不可破的系统也有弱点

本文讲述了我在苹果的macOS系统内核中发现的几个堆栈和缓冲区溢出漏洞,苹果官方将这几个漏洞归类为内核中的远程代码执行漏洞,因此这些漏洞的威胁级别非常高。攻击者可以通过这些漏洞远程入侵Mac,也可以在通过物理的方式访问计算机时,仅需要以访客身份登录(无需密码),就可以通过这些漏洞从而获取权限并控制计算机。 这些漏洞基本都存在于NFS协议中,就是用来将网络驱动安装至Mac的文件系统时使用的,类似于NAS。 漏洞相关内容 苹果公司在2018年7月9日发布的MacOS 10.13.6版本更新中修复了这些漏洞。但是当时他们要求我们先不要公布这些漏洞,因为他们需要再做一些调查,看看...
阅读全文
Safari信息泄露漏洞分析 界内新闻

Safari信息泄露漏洞分析

前言 Javascript中的数组和数组对象一直都是编程人员优化的主要目标,一般来说,数组只会包含一些基本类型数据,比如说32位整数或字符等等。因此,每个引擎都会对这些对象进行某些优化,并提升不同元素类型的访问速度和密集型表示。 在JavaScriptCore中,JavaScript引擎是在WebKit中实现的,其中每一个存储在对象中的元素都代表着一个IndexingType值,一个8位整数代表一套Flag组合,具体的参数定义可以在IndexingType.h中找到。接下来,引擎会检测一个对象中indexing的类型,然后决定使用哪一条快速路径,其中最重要的一种inde...
阅读全文
交易所漏洞之薅羊毛分析 界内新闻

交易所漏洞之薅羊毛分析

前言 近几年,基于区块链技术和密码学的数字货币行业,迎来爆发式增长。作为数字货币产业链中最重要的环节之⼀,区块链资产交易所无疑拥有举⾜轻重的地位。它连接着区块链投资的⼀⼆级市场,也连接着项目方和普通投资者。 据统计,目前被非小号平台收录的交易所已超过300家,未被收录的甚至有数千家之多。即便如此,入局者依然乐此不疲。在人人都来做交易所的背景下,几乎每家交易所多达几十甚至上百个交易标的,那么存量有限的市场,中小型区块链资产和交易所将面临流量匮乏,无价无市的境地。 为什么市商策略是刚需 市商机器人的出现改变了这一局面,通过在市场中参与做市,遏制因信息...
阅读全文
X.Org Server软件包存在提权漏洞,影响主流Linux发行版 界内新闻

X.Org Server软件包存在提权漏洞,影响主流Linux发行版

前言 印度安全研究员Narendra Shinde在X.Org Server软件包中发现了一个非常关键的提权漏洞(CVE-2018-14665),主流Linux发行版均受到影响,包括OpenBSD、Debian、Ubuntu、CentOS、Red Hat和Fedora。 X.Org Server软件包提供了X窗口系统(X Window System,也常称为X11或X)的开源实现。 X Window System是一种以位图方式显示的软件窗口系统。最初是1984年麻省理工学院的研究,之后变成UNIX、类UNIX、以及OpenVMS等操作系统所一致适用...
阅读全文
现实版的黑客大战,这可能是中国黑客做过最燃的事情了 界内新闻

现实版的黑客大战,这可能是中国黑客做过最燃的事情了

由一场撞击事件引发的黑客大战,80000人参与、被攻击网站超4000多个……这场看似没有硝烟的战争当时是何情景?让我们梦回2001,一起看看吧。 “81192无法返航” ——“呼叫81192,这里是553,我奉命接替你机执行巡航任务,请返航!” ——“81192收到,我已无法返航,你们继续前进,重复,你们继续前进!” 当年的“81192撞机事件”不仅是我们永远的痛,也成为黑客大战的直接导火索。 2001年4月1日,早上8点,我军在海南岛东南70海里(110公里)的中国专属经济区上空发现一架美军EP-3型侦察机,并及时派出两架歼八战机进...
阅读全文