?歐洲交通燈曝出嚴重安全漏洞，可導致道路混亂

德國工業(yè)網絡安全咨詢公司ProtectEM在對德國某城市進行安全審核時發(fā)現部署在歐洲道路上的交通信號燈控制器存在一個嚴重漏洞，可能導致“持續(xù)的交通混亂”。

默認情況下，控制交叉路口交通信號燈的硬件調試端口為打開狀態(tài)，從而使攻擊者無需旁路訪問控制即可獲得root用戶訪問權限。

該漏洞技術門檻較低而且可以遠程利用，其僅是一個配置錯誤而不是軟件bug。ProtectEM演示了一種利用配置錯誤進行自動攻擊可能同時停用所有交通信號燈的情況，交通信號燈將從閃爍的黃燈燈變?yōu)榧t色，這可能導致持續(xù)的交通混亂。但不能將所有指示燈設置為綠色，此設置被基本的安全機制阻止了。

通過路由驅動程序來訪問內部設備，就可以訪問應用程序控制和I/O級別，無需特定領域知識，攻擊者只需要具備一般的嵌入式編程和系統技能就可以實現。

?API的安全危機

1、損壞的對象級別授權：API傾向于暴露那些處理對象識別的端點，造成了廣泛的攻擊面訪問控制問題；

2、損壞的用戶身份驗證：身份驗證機制通常實施不正確，從而使攻擊者可以破壞身份驗證令牌或利用實施缺陷來臨時或永久地假冒其他用戶的身份；

3、數據泄露過多：開發(fā)人員傾向于公開所有對象屬性而不考慮其個體敏感性，依靠客戶端執(zhí)行數據過濾并顯示；

4、缺乏資源和速率限制：API不會對客戶端/用戶可以請求的資源大小或數量施加任何限制；

6、批量分配：將客戶端提供的數據綁定到數據模型，而沒有基于白名；單的適當屬性過濾；

7、注入：當不受信任的數據作為命令或查詢的一部分發(fā)送到解釋器時會發(fā)生注入缺陷，例如SQL、NoSQL的命令注入等。

?過去一年半80%的企業(yè)遭受云數據泄露

調查顯示，云安全問題正在急劇惡化，在過去的18個月中，近80％的公司至少經歷了一次云數據泄露，而43％的公司報告了10次或更多泄露。

接受調查的大多數公司已經在使用IAM、數據防泄漏、數據分類和特權帳戶管理產品，但仍有超過一半的公司聲稱這些產品不足以保護云環(huán)境，事實上，三分之二的受訪者將云原生授權和許可管理，以及云安全配置列為高度優(yōu)先事項。

調查反饋，安全相關的配置錯誤（67％），對訪問設置和活動缺乏足夠的可見性（64％）以及身份和訪問管理（IAM）許可錯誤（61％）是他們最關注的云生產環(huán)境安全問題，有80％的人報告他們無法識別IaaS / PaaS環(huán)境中對敏感數據的過度訪問，在數據泄露的根源方面，只有黑客攻擊排名高于配置錯誤。

?合法軟件淪為勒索工具

近日，安全團隊發(fā)現一款合法的磁盤加密軟件BestCrypt Volume Encryption被黑客利用作為勒索工具。

黑客通過RDP暴破等方式遠程登錄目標服務器后，上傳合法加密軟件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及腳本文件copys.bat，人工運行BestCrypt Volume Encryption進行勒索加密，通過對磁盤進行加密卸載，然后運行copys.bat復制勒索信息文件到指定目錄并關機。由于用于加密的是正規(guī)軟件而非病毒，整個過程不存在病毒文件，通過文件查殺的方式通常無法進行防御。

勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，應嚴格注意日常防范，不要點擊來源不明的郵件附件，不從不明網站下載軟件，盡量關閉不必要的文件共享權限，更改賬戶密碼，設置強密碼，避免使用統一密碼。

?安卓手機主流解鎖方法安全性分析

圖案解鎖：用戶在屏幕上滑動出預先設定的線條圖案來解鎖手機，其強度取決于圖案的復雜程度，圖案模式越簡單，越容易被他人偷窺或“暴力破解”；

PIN/密碼：在開機密碼之外設置SIM卡PIN碼，最大限度防止SIM卡被未授權使用或者復制，四位數密碼聊勝于無，應當選擇6-8位屏幕解鎖密碼；

指紋識別：指紋識別技術賣點五花八門，但總體上屬于同一種生物識別技術，指紋識別解鎖依然是公認的最快捷最安全的方式之一，指紋識別并非萬無一失，攻擊者可從照片和其他來源竊取指紋；

面部識別：面部識別可能是最不安全的技術之一，2019 年人臉識別技術相關的安全和隱私問題已經多次曝光，盡管普遍認為人臉識別過程相當復雜，但事實是它基本上取決于前置攝像頭和某些軟件。

?福昕軟件曝出大量高危漏洞

近日，福昕軟件（Foxit Reader）旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執(zhí)行漏洞。

據悉，福昕軟件已經發(fā)布了補丁，修補了Windows版Foxit Reader和Foxit PhantomPDF中與20個CVE相關的嚴重漏洞，其中一些漏洞使遠程攻擊者可以在易受攻擊的系統上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件，其免費版本的用戶群超過5億，它提供了用于創(chuàng)建，簽名和保護PDF文件的工具，同時，PhantomPDF使用戶可以將不同的文件格式轉換為PDF，除了數以百萬計的品牌軟件用戶外，亞馬遜，谷歌和微軟等大型公司還許可福昕軟件技術，從而進一步擴大了攻擊面。

根據趨勢科技ZDI 漏洞分析，在針對這些漏洞的攻擊情形中，“需要用戶交互才能利用此漏洞，因為目標必須訪問惡意頁面或打開惡意文件” 。

?APP端常見漏洞與實例分析

1、邏輯漏洞：這類漏洞包括水平越權、任意密碼重置、任意用戶登錄、薅羊毛、驗證碼回傳等漏洞。要仔細觀察數據在交互的時候，更改某些參數，返回的數據是否會發(fā)生改變，或驗證碼回傳，接收短信驗證碼觀察前端源代碼看短信驗證碼是否存在源碼當中，或是否存在驗證碼生成函數。這類漏洞往往會造成任意大量信息泄露、可登錄任意用戶賬號執(zhí)行危險操作等危害；

2、短信驗證碼可進行爆破：發(fā)送短信驗證碼時，如果發(fā)出的驗證碼太短，設置驗證時間較長，且輸入驗證碼次數不限，那么我們就可以進行爆破驗證碼；

3、xss漏洞：這類漏洞常見于留言、郵件、評論等地方，由于對傳入的內容沒有進行過濾，導致此漏洞的產生。