健康资讯 二维码是动态的,但网上注册人信息不变,网址不变,扫描二维码也是打开网址获取信息,所以不存在漏洞,若用别人的二维码自然获取别人的信息,除非二人具有同一网址,一般是安全的。
时间已经过去多日,阿里云发现Apache Log4j2漏洞,未能及时上报给监管机构,致使其陷入被动之中,仍有一些问题需要思考,这事关大是大非。
现在国内互联网企业中,已经出现了数量众多的基础互联网公司,他们均有自己的安全团队,每年都能发现几个有影响力的bug漏洞。这些漏洞有些是国内特有的,有些是全球基础软件上的通用bug。
在12月,阿里云发现的Apache Log4j2安全漏洞,至今已经有6万多个开源软件受到波及,国内互联网企业对于安全漏洞的修复工作,也陷入到被动之中,中小企业的修复时间可能会到月底才能完成,有些企业可能至今没有察觉到。
企业与企业之间的合作很重要,同时,也要有一个大平台为其服务,帮助有效的沟通,形成国家队互联网安全护盾。虽然美国有众多开源软件,并有世界级的开源机构,但是他们首先服务的对象属于美国,其次是五眼联盟、欧洲等国家。
以阿里云发现的Apache Log4j2安全漏洞为例,作为一个0day高级危险漏洞,上报给美国机构之后,工信部是怎么知道的?并没有第一时间收到来自美国这家机构的任何报告,最后通过其他途径,获知本国企业发现了一个危险级别极高的0day漏洞,这使其错过了应对互联网危机事件的最佳响应时间。
可以试想一下,如果腾讯发现了Apache Log4j2,率先在github纰漏0day,然后黑客第一时间编写一个计算机病毒,在国内传播会怎样?最早看到的企业,最早打上补丁,如果阿里巴巴看的慢一拍,淘宝网站服务器已经被黑客拿下。
监管机构的职责之一,便是提前收到腾讯、华为、360等企业发现的0day,在0day bug未有纰漏之前,帮助阿里云、支付宝、淘宝网站修复漏洞,避免国内企业被攻破,将分散的信息安全团队,形成国内信息安全护盾。
阿里云在0day bug漏洞的处理上,并没有考虑国内其他信息安全团队的感受,这是有风险的事情。如果其他国内安全团队也纷纷效仿,阿里巴巴的损失要大一些,阿里云、淘宝、支付宝等bug,将很容易暴露在黑客面前。
is-website-vulnerable :检查网站前端使用JS组件的中的存在的安全漏洞
is-website-vulnerable是命令行工具,可以使用使用 Node.js npx对网站进行一次性扫描:
npx is-website-vulnerable 站点 [--json] [--js-lib] [--mobile | --desktop] [--chromePath] [--cookie] [--token]
如果没有提供必要的参数(比如站点url),npx is-website-vulnerable则以交互式方式优雅地提示输入来缺少要扫描的 URL :
npx is-website-vulnerable
Woops! You forgot to provide a URL of a website to scan.
? Please provide a URL to scan: › xxxx
...
结果提示:
如果 CLI 检测到错误,它将以不同于 0 的退出代码终止。
退出代码 0:一切正常。 没有发现漏洞。
退出代码 1:执行过程中发生错误。 检查日志以获取详细信息。
退出代码 2:发现漏洞。 检查日志以获取详细信息。
安装:
可以通过以下方式全局安装:
npm install -g is-website-vulnerable
docker部署:
在本地构建和运行容器:
git clone github/lirantal/is-website-vulnerable.git
cd is-website-vulnerable
docker build --no-cache -t lirantal/is-website-vulnerable:latest 。
docker run --rm -e SCAN_URL= "xxxx" lirantal/is-website-vulnerable:latest
SCAN_URL是一个环境变量,它的值必须在 Docker 运行期间替换为所需的 URL。 扫描完成后,Docker 容器将退出。
Web2 应用程序屡次出现大型数据泄露的情况。甚至有网站专门跟踪这些漏洞,告诉你什么时候你的数据被泄露了。用户对数据可能被泄露这件事已经“习以为常”了。
在 Web2 中,你对你的数据或数据的存储方式没有任何控制权。有种乱象,公司经常在未经用户同意的情况下跟踪并保存用户的数据。然后所有这些数据都由负责这些平台的公司所拥有和控制。
另外,生活在一些国家,用户时常需要担心言论自由的风险和潜在的后果。集中式服务器也会更容易控制应用程序、关停账号等。
Web3 的诞生,旨在从根本上重新思考,我们如何在网络上建设并与之互动?来解决许多 Web2 当下的问题。
关键问题还是自己对“诈骗”网站的认知不够谨慎!但是银行安全系统存在一定的漏洞,必须要承担责任!!!
银行人脸识别系统被攻破:非本人操作,卡里的钱被悉数转走
今天苹果公司推出了一个新网站,名为 Apple Security Research,目的是为了改善安全研究人员向苹果公司报告产品的漏洞或错误问题的方法。该网站提供了发送苹果安全报告、获取实时状态更新以及与苹果工程师沟通的工具。
一直以来,无论是安卓手机还是苹果手机都出现大大小小的安全问题,使黑客有机可乘,盗用来个人资料,如果只靠厂商本身是很难发现所有问题,但有了这个正式平台,研究安全人员可以把发现的问题发送给苹果公司是一个方便快捷的方法,不但可以协助厂商解决问题,而且得到赏金,達到雙贏的效果,大家互惠互利。
至于赏金方面,其透明度也提高了很多,新网站提供详细的苹果安全赏金资料和评估标准,因此研究人员怎样才能获得奖励有了更深入的了解。
另外,苹果公司表示,这个新网站应更快捷对漏洞报告的作出反应,使报告问题与苹果公司的团队加强沟通。在网站上提供的一个新的跟踪器,可以一览无遗查看所有错误报告的状态变化,使苹果公司更容易收集更多的错误信息。
女子轻信“好友”利用赌博网站漏洞赚大钱被骗110余万元
一场精心布局的相识,一个人为操纵的网站,包装虚假“人设”,持续嘘寒问暖,假以小利诱惑,只为骗取被害人的信任,让他们将钱财源源不断地转入一个“深不见底”的赌博网站……近日,上海市普陀区检察院对一起有组织、有架构、有策划的跨国电信诈骗集团8名成员提起公诉。
赌博网站漏洞能赚钱?“杀猪盘”骗你入局
2019年7月,家住上海普陀的张女士(化名)通过视频分享平台认识了一名网友,因为双方都有房地产从业经历,两人很快就熟悉起来。张女士渐渐地将该名网友当做了自己的知己好友,对方也十分给力,时时在线与张女士进行线上互动。
2020年1月,该名网友兴致勃勃地告诉张女士,自己手上有一个可以赚钱的途径,就是下载一个名为“新福彩”的APP,利用平台漏洞进行博彩,他有个朋友正好是做这个APP后台系统维护的。张女士听了很有兴趣,照着对方的指示往平台上充值了5000元,玩了一把名为“葡萄牙28”的福彩,没想到真的赢了,还成功地将账户里的6000余元余额提了现。尝到了甜头的张女士又先后在平台上充值了10余万元,都赢得了彩金并且获得返现,她更加确信可以通过这个方式赚钱,也更加信任该名网友。
几天后,张女士从该名网友处得知平台上有个捆绑账号拿彩金的活动,只要将他们俩的账号捆绑在一起,就可以拿到更多的彩金。张女士又心动了,照着对方的指示进行了操作,发现账户里的余额果然变多了。正在她喜出望外时,该名网友发来语音称自己的平台账号突然不能提现了。一头雾水的张女士立即打开自己的账户试了试,发现也是一样的情况。客服解释说,这是因为张女士与朋友的账户为捆绑账户,账户内金额差距过大,需要补足50.7万元才能提现。张女士提出质疑,客服又说这是平台上的小错误,如果这次不补足,她朋友账户中100多万也无法提现。想到该名网友确实带着她赚了不少钱,张女士于心不忍,便又补足了50.7万元,却仍然不能提现。此后为了提现,她又根据客服的指示,向账户里充值了48万元押金及5.5万元的税费等,至案发共计损失人民币110余万元。
境外据点集团化管理诈骗团伙模式化行骗
张女士不是个例,与她相似的被害人还有很多。她遇到的也不是普通的网友,而是一个有组织、有架构、有策划的跨国电信诈骗犯罪集团。该犯罪集团总部设在境外,共有成员二十余名,致力于通过“杀猪盘”等方式开展电信诈骗。即在网络上使用虚假的,包装过的有钱人的虚拟身份添加好友,通过嘘寒问暖,博取客户信任之后向他们推荐犯罪集团所设计的赌博软件。客户一开始能在软件上赢些小钱,然而一旦他们往平台上大量充钱,犯罪集团便会修改软件后台的数据,营造出输钱或无法提现的假象,亦不再通过聊天软件回复客户。
为了高效“杀猪”,该犯罪集团采取集中管理模式,实行严格的作息管理制度和业绩考核制度。底层的业务员住在离工作地点步行1分钟距离的宿舍内。公司内以绰号相称,定期集中学习成功案例,团队长坐在第一排,其余组员坐在后面,每人配备3-5只工作手机,成员必须使用独立网络信号及流量卡,使用当地wifi,不得传输公司内部机密内容,不得私自删除客户聊天记录。每位业务员每天工作10小时左右,需要添加3-5名新好友,无法完成就要加班。与优质客户建立联系后,由团队上层决定是否开始“杀猪”。
案值巨大涉及面广 8名成员被起诉
2021年1月,张某某等8名该犯罪集团成员在入境后被公安机关抓获。经查,2019年至2020年期间,被告人张某某等人所在的境外电信诈骗集团统一配备电脑及手机、培训话术、安排食宿、设置底薪及提成比例,并设置代理、组长、业务员等岗位,安排业务员通过聊天软件随机添加国内好友,以虚构的身份与被害人聊感情骗取信任,再以发现赌博网站漏洞为由,诱骗被害人向该集团控制的网站转账充值,诈骗被害人钱款,案值或达千万。张某某等8人任该诈骗集团成员期间,该诈骗集团以上述作案手法骗取被害人张女士等人钱款共计人民币110余万元。
检察官认为,张某某等8人应对其参与期间该诈骗团伙实施的全部诈骗行为承担责任。从本案团伙利益分配来看,业务人员的收入都有固定底薪加提成组成,即一人犯罪成果整个团伙共享;从工作场地来看,在统一的办公地点,其犯罪实施的场地也是同一的;从组织管理来看,公司统一安排食宿,统一配备通讯工具、统一话术用于作案,激励作案人员,并对成功经验予以分享;从人员调动来看,按照团伙领导的意愿可以调配职务或岗位。虽然各个业务员被划分为各个小组,但基于以上因素,仍应当认为整个公司为多人共同实施网络诈骗的团伙。2021年5月8日,张某某等8人因涉嫌诈骗罪被上海市普陀区检察院提起公诉。
(来源:正义网 作者:张熠)
【牢记“十个秘诀” 远离网络骗局】在一线网点做好防范电信诈骗工作,守住汇款转账“最后一道防线”;提醒市民牢记“十个秘诀”,提高反诈意识和能力,增强百姓防范诈骗犯罪活动“免疫力”。
1凡是称博彩、投资网站有漏洞的都是诈骗。
2凡是网络兼职刷单都是诈骗。
3凡是网络贷款需要先出钱验证、解冻、刷流水的都是诈骗。
4凡是网购退款要添加QQ、微信,索要验证码的都是诈骗。
5凡是网友推荐下载的高回报投资理财App都是诈骗。
6凡是“领导”、熟人换新号,三天内要求转账的都是诈骗。
7凡是网恋没见面却要钱的都是诈骗。
8凡是公检法人员电话提到转账验证“安全账户”的都是诈骗。
9凡是短信中有链接,网站或App要输入银行卡和验证码的都是诈骗。
10凡是老板在QQ群要求转账的都是诈骗。
伊凡在网上查资料时,无意中发现了俄罗斯历史上一个巨大的漏洞,从而拆穿了维基百科上一场历时10年的骗局。
伊凡是一位网络小说创作者,他正在撰写一部俄罗斯历史长篇小说,因此对俄罗斯历史资料极具关注,有一次他在维基百科上查询资料时,发现在俄罗斯历史上一个规模宏大的“卡申银矿”和围绕“卡申银矿”的一场旷世持久的战争。
根据维基百科里的资料,“卡申银矿”的主权属于特维尔大公国,该银矿的收入是特维尔大公国的重要资金来源,从1305年到1485年,莫斯科和特维尔王子为了争夺银矿主权,开启了长达180年的战争。
在这场命名为“莫斯科 - 特维尔战争”中,各种排兵布阵,士兵的各个岗位,兵器火炮数量和作用,甚至当时流通的“含银量92.7%的货币梁赞卡娅”等历史资料都非常详实,细致。
围绕矿山和战争,当时的恢弘的历史背景和各方势力演变,其中,鞑靼人起义,喀山战役,1958年全俄缙绅会议等重要历史史实都环绕期间,更重要的是背后的势力纷争,几方势力反复角逐,势力范围扩大,缩小又扩大,附录上的局势图清晰显示了各方割据势力的控制领域。
俄罗斯各地驻军与鞑靼叛军相互厮杀,内斗,叛乱,围歼等等惨剧轮番上演,最终,战争以首领被斩落头颅,叛军落败而告终。
9万多字的战争故事引用了100多条参考文献,此外,还有配套的战场形势图,人口分布图,每个细节环环相扣,互相佐证。
创作者是一位名叫折毛的中国人,折毛拥有俄罗斯历史副博士学位,由于她对俄罗斯历史的深入研究,她甚至收获了很多历史研究者赠送的星章,这是对他在历史领域的贡献的肯定和表彰,折毛还被诸多历史研究者奉为古俄罗斯历史权威,
由于折毛的编写逻辑严密,史料详实,许多他编辑的条目被冠以“典范条目”或“优良条目”,折毛并因此获得了网站审核的“巡查豁免”。
上百个历史人物分为不同阵营,他们分别在折毛所创作的维基百科词条中演绎着不同的命运和对历史的贡献。甚至还有后世的“名人采访”以及相关电视角色和纪录片加以佐证,有些还能查询到相关的出土文物资料。
伊凡对这个银矿和战争的故事非常有兴趣,他希望获得更多关于这段历史的知识,于是将故事内容分享到一个历史爱好者的群里,但是,群里的朋友表示很惊讶,俄文版维基百科里根本没有任何有关“卡申银矿”和“莫斯科 - 特维尔战争”的消息,原来这是一条中文版维基百科里的独特消息。
历史爱好者们除了惊讶之外,他们发动了探索精神不仅从俄罗斯历史长河里,而且从地理角度,从南极到北极,从莫斯科到基辅都无法找到“卡申银矿”的蛛丝马迹。
这可太令人惊讶了,这么详尽的历史史料为什么在别的历史书籍和资料里从未提及呢?而且维基百科俄语版对此也是只字未提,为什么一段俄罗斯的历史用中文描述得如此详尽,而俄罗斯历史系学生却从未听说过呢?
创作者折毛,自称是莫斯科大学历史学副博士,他的父亲是俄外交官,丈夫是俄罗斯人,她坚持多年在中文维基百科上填补古俄罗斯史的缺口,记录了古俄罗斯和鞑靼那场耗时十余年的战役。
在她的维基百科主页,可以看到有很多她“现实中的朋友”与她互动,折毛在这些互动中表现出了一位对历史非常有研究,并在学术圈非常活跃的年轻女性知识分子。
带着疑问,伊凡进行了小心求证,结果让他大吃一惊,这个折毛其实是一名中国高中肄业生,有关银矿和战争的故事都是她凭空编造出来的。
她引用的很多论文确实是真实存在的,但是这些论文中却没有她引用的内容,伊凡发现他引用了某本著作书籍中265页的内容,但这本书却不到200页,
俄罗斯历史上从未有过卡申银矿,也从未有过所谓的卡申-莫斯科战争,这一切都是折毛为了一个网络游戏而杜撰出来的。
在她凭空杜撰出来的历史中,上百个人物轮番上场表演,这其中有一些是真实的历史人物,而另一些则是她凭空创造出来的虚构人物,史实与虚构交汇,9万字的战争故事引用了100多条参考文献,其“规范性”堪比学术论文,信息环环相扣,逻辑严密,把维基百科写成了幻想小说。
事情败露后,折毛立刻道歉,她在道歉信中表明自己是待业在家的高中肄业生,她不懂俄语,看不懂俄文历史资料,她所撰词条只是她编造的“奇幻文学”。
2022年6月,维基百科已经将折毛编写的所有内容删除,并将她本人列为永久封禁。
不懂俄语,看不懂俄罗斯文献,未婚夫也并不是俄罗斯人,那些与她在网上互动并表示现实中认识她的人,实际上都是她自己假扮的。
最初,她只是好奇,或为了好玩而编造了一个小故事,但是,有了开始,就无法结束,为了圆一个谎,就必须撒更多的谎。
不过我们必须承认,折毛的想象力和创造力是多么强大和奇妙,有了这个无心之失,希望她以后可以发挥自己的创作能力,对她这样有能力的人舞台是非常宽广和巨大的,我们期待在不久的将来,能够领略折毛真正的研究和创作。#人物#
作者:蓬莱映月
MetInfo是不是留有后门?要不然怎么知道我侵权了?
MetInfo早已完全开源,大家可以通过米拓官网、第三方平台、GitHub、Gitee等下载获取源代码,米拓欢迎广大用户和技术爱好者研究MetInfo的所有源代码,如发现漏洞可及时向我们反馈。
同时,国家信息安全漏洞共享平台等漏洞平台早已对MetInfo进行了监控和漏洞通报,米拓也一直在严格遵守网络安全法,收到各平台转送的漏洞提醒后,及时通过发布补丁、升级新版本的方式修复漏洞。
网站是开放的,米拓自然可以通过开放的互联网获得各种域名,同时通过浏览器公开访问系统静态文件、分析URL特征等判断网站是否使用了MetInfo。
【公安局】
防范诈骗提示:近期神木市杀猪盘类案件多发,诈骗分子会在婚恋网站或社交平台注册虚假身份,假扮“高富帅”、“白富美”,与受害人网络交友获取信任后,以赌博网站存在系统漏洞、网络投资平台高额回报为诱饵,并拉入群聊假讲师全程讲解,诱骗受害人投入资金,前期少量获利,当加大投资金额后实施诈骗。请您寻找银行等正规机构投资理财,拒绝网络赌博。一旦被诈骗,请拨打110报警!96110是全国反诈预警专线,如果接到96110来电,一定要立即接听!
昨天厦门禁封的地方主要是第二轮全员检测查出的阳性病例近期去过的地方,并且山东启用场所码也起作用了,确诊人员近期行程一览无余,当然这其中肯定存在漏洞,很多地方贴有场所码,但是不强制扫码,24日厦门卫健委网站的第一条通告是凌晨2点钟发布的,说明厦门市领导对第二轮检测结果相当重视,连夜商讨下一步的方案,本来23日晚上八点左右社区群发信息说24日早晨5点钟厦门市各区开始核酸检测,不到半小时又通知说检测时间另定,等通知,24日检测时间已定,从24日开始三天三检,并且厦门卫健委也回应了近期各路小道消息说的封城问题,厦门封城为不实信息,大家不信谣不传谣,一切以官方发布信息为主。
