标签归档:发布

OWASP 发布 2017 Top 10 Web 应用安全威胁,Web 安全防护正当时

近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。

与此同时,榜单中还出现了一些新的安全威胁,包括 XXE 漏洞(A4:2017, XML External Entity attack)、针对 Java 平台的不安全反序列化漏洞(A8:2017, Insecure Deserialization)以及记录和监控不足风险(A10:2017, Insufficient Logging & Monitoring)等。

A1 注入攻击漏洞    

A2 失效的身份认证  

A3 敏感信息泄露   

A4  XXE 漏洞   

A5 失效的访问控制    

A6 安全配置错误

A7 跨站脚本 XSS

A8 不安全反序列化漏洞

A9 使用含有已知漏洞的组件

A10 不足的记录和监控

随着网贷、购物和社交等一系列新型互联网产品的诞生,企业信息化的过程中越来越多的应用都架设在 Web 平台上,接踵而至的就是 Web 安全威胁的凸显。大量黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。

什么是 Web 应用安全风险?

如下图所示,攻击者可以通过应用程序中许多不同的路径和方法来危害您的业务或者企业组织。每种路径方法都代表了一种风险,有些路径方法很容易被发现并利用,有些则很难被发现。


文章重点分析排名前三的 Web 安全威胁以及应对方法:

注入攻击漏洞

注入攻击漏洞,例如 SQL、OS 以及 LDAP 注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候,攻击者发送的恶意数据可以欺骗编辑器,以执行计划外的命令或者在未被恰当授权时访问数据。

检查是否存在「注入漏洞」的方法

最好的办法就是确认所有解释器的使用都明确地将不可信数据从命令语句或查询语句中区分出来。对于 SQL 调用,在所有准备语句和存储过程中使用绑定变量,并避免使用动态查询语句。

检查应用程序是否安全使用解释器的最快最有效的办法是代码审查,代码分析工具能帮助安全分析者找到使用解释器的代码并追踪应用的数据流。

可以执行应用程序的动态扫描器能够提供信息,帮助确认一些可利用的注入漏洞是否存在。

典型案例

NextGEN Gallery 插件是众所周知的 WordPress 相册插件,这款插件功能强大,可以在博客中任意插入动态图片效果,提供了很完美的照片管理方法,在 WordPress 平台上拥有过百万的安装量。

今年 3 月 NextGEN Gallery 插件被曝存在严重的 SQL 注入漏洞,影响上百万用户,攻击者利用 SQL 注入漏洞获取了数据库中包括用户信息在内的敏感数据。

失效的身份认证

与身份认证和会话管理相关的应用程序功能常常被错误地实现,攻击者使用认证管理功能中的漏洞,采用破坏密码、密钥、会话令牌去冒充其他用户的身份。

检查是否存在「失效的身份认证」的方法

用户身份验证凭证是否使用哈希或加密保护;是否可以通过薄弱的账户管理功能(例如账户创建、密码修改、密码修复、弱会话 ID)重写。

会话 ID 暴露在 URL 里;会话 ID 没有超时限制,用户会话或身份验证令牌(特别是单点登录令牌)在用户注销时没有失效;密码、会话 ID 和其他认证凭据使用未加密链接传输等。

典型案例

机票预订应用程序支持 URL 重写,把当前用户的会话 ID 放在 URL 中:http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii 

该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面链接通过邮件发送给朋友们,并不知道已经泄露了自己会话 ID. 当他的朋友们使用上面的链接时,可以轻而易举地使用他的会话和信用卡。

敏感信息泄露

许多 Web 应用程序没有正确保护敏感数据,如信用卡、身份证 ID 和身份验证凭据等。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取或其他犯罪。

敏感数据需额外的保护,比如在存放或在传输过程中进行加密,以及在与浏览器交换时进行特殊的预防措施。

检查是否存在「敏感信息泄露」的方法

首选需要确认哪些数据时敏感数据而需要被加密。当这些数据被长期存储的时候,无论存储在哪里,是否被加密和备份?

无论内部数据还是外部数据,传输时是否是明文传输?是否还在使用旧的或者脆弱的加密算法?

加密密钥的生成是否缺少恰当的密钥管理或缺少密钥回转?当浏览器接收或发送敏感数据时,是否有浏览器安全指令?

典型案例

一个网站上所有需要身份验证的网页都没有使用 SSL 加密。攻击者只需要监控网络数据流(比如一个开放的无线网络或其社区的有限网络),并窃取一个已验证的受害者的会话 Cookie. 攻击者利用这个 Cookie 执行重放攻击并接管用户的会话,从而访问用户的隐私数据。

如何有效地防范 Web 应用安全风险?

安全防护要贯穿整个 Web 应用生命周期

在 Web 开发阶段需要对代码进行核查,在测试阶段需要对上线前的 Web 应用做完整的安全检查,在运营阶段,建议在事前、事中和事后进行分阶段、多层面的完整防护。

构建以漏洞、事件生命周期闭环管理体系

通过监测系统平台进行漏洞生命周期的管理,包含漏洞扫描、人工验证、漏洞状态的追踪工作以及漏洞修复后的复验工作等,使漏洞管理流程化。

提升安全管理人员工作能力

安全管理岗位人员需要建立起信息安全管理的概念,清楚 Web 威胁的危害,掌握识别安全漏洞及风险的专用技术,以及对安全问题进行加固处置的技能。

文章来源青云QingCloud(微信公众号:QingCloud-IaaS)下载完整版报告

雷锋网雷锋网雷锋网

雷锋网

发布 AI 投影,邀请冯雁加入,暴风TV的路从此好走了么?

1.

屡次暴风 TV 的发布会,雷锋网编辑都能看到几个场景:

场上,冯鑫总是第一个上台发言;场下,冯鑫总是熟络招呼各方来客。冯鑫邀请 CEO 刘耀平上台时,会喊“老刘”;刘耀平致谢时,则称“老冯”。

从受重视程度来看,成立于 2015 年的暴风 TV 在集团架构中,无疑已处在绝对核心的位置。能坐上这把“王座”的理由,就是 AI。

但在 2013 年,那会儿最火的还不是 AI。冯鑫明白,暴风在视频这场恶战里绝难胜出,他需要长出一条新的“大腿”。那年底,在成都创办极米的钟波找上门来,二人相谈甚欢,甚至聊起了如何把投影打造成一款互联网产品。但最终,冯鑫选择了“当红炸子鸡”—— VR。

至少从过往来看,冯鑫不是个擅长预测的人,但或许是个会把握时机的人。如果不是经历了 A 股的断崖,也未亲尝 VR 的冷清,“文艺青年”冯鑫大概率不会选择做暴风TV。冯鑫坦陈,自己家的电视,只有两个用处——一个是过年时陪父母看次春晚,一个是每隔四年看回世界杯。

改变发生在遇到“老刘”和 AI 之后,二者很快就结合了。2017年,刘耀平领导的暴风TV推出首款 AI 电视后,此后密集地召开了多次发布会,并宣布 All in AI,停产全部非 AI 电视。

决心不可谓不大。但冯鑫还惦记着投影。

冯鑫在发布会的开场演讲里回忆,他非常热爱电影,至今还保留着每周去一次电影院的习惯,从1999年开始,他就用投影看电影,对投影及投影带来的“巨幕观影感”很喜欢。对今天暴风即将推出的这款 AI 无屏电视(即投影)Max 6,已经等了 4 年。

2.

冯鑫故事的另一面,其实是彩电市场整体表现不佳,乐视之后,即便有 AI 加持,也鲜有其他互联网电视厂商交出令人惊喜的答卷。这不能怪暴风,也不能怪 AI,但这一定是促使暴风TV染指投影的绝对诱惑。

雷锋网了解到,120 寸的电视售价超过 40 万,75 寸的电视均价也要 10 万多,成本制约着大屏幕电视进入消费级市场,而投影则是一个优质的替代方案。同时,市场对于投影的需求随着消费升级不断攀升,其年增长率高达 55%。

互联网电视市场渐入寒冬,投影市场欣欣向荣,一面是萧条,一面是诱惑,否则冯鑫怎么也不可能大举进攻老朋友极米的阵地,甚至在发布会上直接对标极米最贵的产品,放出“盲听投票”的视频,显示自家产品的优质。

冯鑫和刘耀平的武器是:用做电视的品质,做一台投影,满足“120 寸的巨幕观影体验”。

冯鑫认为,暴风 TV 的进场是“大玩家入局”。所谓大玩家入局,就是要在画质、音质、内容、AI+四个方面,全面“碾压”投影市场上的其他玩家。在发布会后的采访中,刘耀平也对雷锋网直言,“这其实是降维打击”。具体来看:

暴风 AI 无屏电视在亮度上达到了1100 ANSI 流明,同等流明情况下价格低1000元,编码率、成像均为1080P;音质方面,采用了剧场立体声技术2.0,音箱设计采用铷铁硼内磁发生单元,德州仪器数字功放处理芯片,Dolby+DTS双解码、双音效的编解码及音效处理技术,并由三诺声智联的首席“金耳朵”亲手调教;内容方面,与暴风 TV 同步,可以覆盖暴风影音+爱奇艺+奥飞娱乐的全部视听内容,且无需下载App、注册多账号、登陆会员;在AI方面,与暴风TV享受同等待遇,能够通过语言进行交互,可实现听音辨人、多轮对话等功能。

值得一提的是,AI 方面和暴风 TV 唯一不同的是,投影选择的是“近场识别”的方案,而非远场。暴风 TV 首席技术官裴来隆解释说,这是因为投影和电视在噪声方面的不同,前者的风扇、光机、调焦、马达等都会产生噪声,噪声无法解决,远场识别的方案则无法实施,暴风 TV 的技术团队也在想办法解决这个问题。

除了用电视的标准做投影之外,暴风的这款投影产品,也给了一个“爆量”的价格——3999元,同时选择在“双十一”这个节点上在京东进行首发。综合看下来,Max 6 的诞生,是想要实现当年冯鑫和钟波聊的那个“把投影打造成一款互联网产品”的愿望。

3.

除了发布暴风 AI 无屏电视 Max 6,这场发布会上的另一个重头戏,就是宣布香港科技大学电子及计算机工程系冯雁教授,以“首席科学顾问”的身份加盟暴风 TV。

冯雁作为 NLP 领域的专家,在内地的知名度并不高,这一点可以从搜索引擎的新闻量看到,雷锋网就此也问了几家 AI 领域关注学术的资深媒体人,得到的答案也都未曾听闻。更有意思的是,在知乎上一个名为“什么样的导师最坑人?”的问题下,有一位答主上传了一份论文形式的 PDF 文章,历数冯雁及其丈夫吴凯德的“坑”,除了控诉身为港科大校长的吴凯德之父任人唯亲之外,还爆出冯雁为人跋扈,常有辱骂学生之举。

在发布会结束后的采访中,雷锋网向冯雁询问加入暴风TV后的计划,冯表示想要参与从研发到产品的整个过程,当雷锋网追问“如何弥合学术研究与工程实现之间的差异”时,冯回答说正是因为考虑到这其中的差异,才选择暴风“来学习的”。

然而,当在场有位媒体记者问及,为何其他硬件厂商在采用 AI 技术时,都选择和百度、讯飞等第三方技术厂商合作,但暴风选择自己做(这位媒体记者其实了解有误,暴风 TV的 AI 技术提供商为科大讯飞和蓦然认知)时,冯雁博士则一反“学习的态度”,且在不了解实际情况的情形下抢先答道,“因为有我啊”,并同时表示,“我在这个行业研究了30多年,算起来科大讯飞的创始人还是学生辈儿”。

考虑到前几次暴风 TV 的发布会 PPT 上还着重提到科大讯飞,这样的回答,还真是蛮尴尬的。

雷锋网

超越 AR 的游戏之王?混合现实头显 Linq 发布 (附游戏视频)

微软的 AR 头显 HoloLens 能做到把虚拟物体与真实世界叠加在一起,但有没有更好的办法让这两者结合?这就是 MR 混合现实技术(Mixed Reality)的意义。与 AR 不同的地方在于,MR 设备使用一个前置摄像头把周围环境实时拍摄下来,然后在屏幕上与虚拟物体混合显示。由于所有图像都是屏幕显示出来的,理论上 MR 能提供比 AR 更协调的视觉体验,减少虚拟物品的突兀感。

近日,一家名为 Stereolabs 的科技公司发布了一款惊艳世界的 MR 头显 “Linq”。这家公司宣称,这款设备具有超广视角, 并且不需要你在使用之前把房间大小记录下来(以免像运气不好的 VR 用户那样撞到墙)。Linq 能把真实世界和虚拟物体以“沉浸式”和“相片般真实”的感官体验融为一体。

Stereolab 原是一家 3D 传感器公司,在立体摄像头领域有深厚的技术积累。这个头显配备了 Stereolab 自家的 ZED 3D 摄像头,它能识别人物和20米远的物体。该摄像头号称拥有接近人眼的视觉,它能实时拍摄周围环境并且独立进行位置追踪,无需其他传感器。这意味着用户可以跑、跳,并且躲避混合现实中的虚拟物体。因此,佩戴者可以在户外自由地使用 Linq (有电的时候)。硬件来说,Linq 可以被看作是一个升级了摄像头的 HTC vive。

Linq 的开发者版本需要连接一台 Windows 或者 Linux 电脑工作。但该公司表示,最终的消费者版本会包含一个口袋大小内置 GPU 和电池的模块。开发者注意:现在 Linq 是一个独立的平台,为它开发软件需要与 Unity 和 Unreal 两家公司合作。

关于价格,Stereolabs 并没有给出一个具体的数字。他们表示 Linq 大约会和一台游戏主机的售价差不多。这意味着 Linq 很可能被控制在 1,000 美元以内。如果这个 MR 头显的实际效果像视频中那样炫,它对玩家的吸引力不会在 3000 美元的 HoloLens 之下。

Linq 将于 2017 年初发货开发者版本,消费者版本发布要等到明年年底了。 究竟它带给我们惊喜还是失望,将在一年后揭晓。

via engadget 

【招聘】雷锋网坚持在人工智能、无人驾驶、VR/AR、Fintech、未来医疗等领域第一时间提供海外科技动态与资讯。我们需要若干关注国际新闻、具有一定的科技新闻选题能力,翻译及写作能力优良的外翻编辑加入。工作地点深圳。简历投递至 guoyixin@leiphone.com 。兼职及实习均可。

推荐阅读:

未来已来 微软Hololens 全息眼镜开箱图赏

惊恐! VR、AR、MR 原来是这样吓死宝宝的!

娱乐无人机新玩法,增加混合现实玩神庙逃亡 | 新智造

英特尔发布融合现实头盔Alloy;杭州坐公交可刷支付宝;诺基亚手机将年底回归 | 雷锋早报

雷锋网

Mozilla Firefox 46 Beta 5 发布

Mozilla Firefox 46 Beta 5今日已经被上传到FTP服务器,包含全平台全语种32/64位版本,46版为GNU/Linux平台整合了GTK3,改善了JIT编译器的安全性,并将无加密传输的密码文本框标记为不安全,以提醒用户小心使用,至于原本有计划在46版本中开始测试的多处理器多进程运行的特性,目前还没有看到出现的迹象(如要体验,需要下载Mozilla Firefox Developer Edition)。







cnBeta.COM业界资讯

foobar2000 1.3.10 Beta 1 发布

foobar2000是一款Windows 平台下的高级音频播放器,包含了一些播放增益支持、低内存占用等基本特色以及内置支持一些流行的音频格式,支持强大的界面扩展和插件以及出色的音效。foobar2000的定位是专业数字音频播放工具,是一款出色的播放器。foobar2000 1.2支持UPnP MediaRenderer设备即插即用,使用FFmpeg进行MP3、AAC和Vorbis解码。







cnBeta.COM业界资讯

【爱搞机·硬报】vivo Xplay5/大疆 Phantom 4 发布

vivo 昨日在水立方召开发布会,推出了 Xplay5 旗舰版和标准版两款机器;而大疆在纽约对旗下的精灵系列进行了更新,发布 Phantom 4;卓普 Speed 8 真机现身,首次搭载联发科 X20;华为 P9 曝光,苹果传闻不断;三星 Galaxy S7 edge 国行售价暴露,Google IO 确定时间。


vivo Xplay5/大疆 Phantom 4 发布(优酷)


vivo Xplay5/大疆 Phantom 4 发布(腾讯)


vivo Xplay5/大疆 Phantom 4 发布(搜狐)


【爱搞机·硬报】vivo Xplay5/大疆 Phantom 4 发布

雷锋网

CCleaner 5.15.5513 发布

CCleaner是一款免费的系统优化和隐私保护工具。CCleaner的主要用来清除Windows系统不再使用的 垃圾文件,以腾出更多硬盘空间。它的 另一大功能是清除使用者的上网记录.CCleaner的体积小,运行速度极快,可以对临时文件夹、历史记录、回收站等进行垃圾清理,并可对注册表进行垃圾项扫描、清理。附带软件卸载功能。







cnBeta.COM业界资讯

Google 发布 Cardboard Camera,手机变VR相机

Google 发布 Cardboard Camera,手机变VR相机

(图注:这是个超过 10MB 的 gif 动图,请耐心等待下载)

Google 的 Cardboard 包含一个纸盒以及手机端的应用程序,帮助人们在屋里体验另一个遥远地方的场景。近日,该公司又发布了 Cardboard Camera 应用,帮助人们拍摄虚拟现实(VR)视频,将手机变成VR相机,真正体验到个人的真实场景。

Cardboard Camera 目前已经上线 Play商店,仅支持 Android 平台。Google 没有公布 iPhone 版本的开发计划。

不少人认为 Cardboard 不能代表真正的 VR 体验,Oculus、Playstation VR 和 HTC Vive 是最佳 VR 效果、三星初代 Gear VR 效果次之,但不得不承认,大部分人是通过 Cardboard 第一次对虚拟现实有了概念,它也是平民最容易接触到的 VR 体验。

Google 发布 Cardboard Camera,手机变VR相机

雷锋网