WordPress 4.2.0-4.5.1存在严重XSS漏洞 知道创宇云安全率先防御

5月10日消息,全球知名的开源建站程序WordPress 于2016 年5 ⽉6 号发布新版本4.5.2,其中修了⼀ 个反射型XSS 漏洞(https://www.seebug.org/vuldb/ssvid-91515),直接影响4.2.0 ⾄4.5.1 版本。该反射型XSS 源 于WordPress ⼀个处理媒体的插件MediaElement,攻击者能够构 造恶意Payload,使之解析媒体⽂件时触发XSS。

575AA346-079F-42CB-AA31-FF81B94C0375

通过XSS恶意攻击者可以通过劫取Cookie等方式通过向网站管理员发送一个自身运营的网站的特殊网址,从而获取网站的控制权限,进而可能控制网站服务器。

目前Word[……]

阅读全文

ImageMagick曝重大漏洞,上传图片即可植入木马 创宇盾已率先防御

5月5日消息,广泛流行的图像处理软件imageMagick今天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。

c84eba57072c6bb237c3cc3f8e41742f

图片来源:Freebuf

imageMagick是一个免费的创建、修改、合成、裁剪图片的软件,在大量网站上有应用,常见的应用场景如某些论坛用户上传头像后,可进行尺寸裁剪等。

在国内广泛应用的Wordpress建站系统、Discuz!论坛等均受影响,全国约有200万网站采用Discuz!搭建网站。目前在某漏洞报告平台上,包括百度、腾讯、阿里、人人、新浪等均受到影响。

截止发稿,软件官方尚未发布最[……]

阅读全文

知道创宇云安全招聘Web开发极客、产品运营

工作地点:成都

工作性质:全职、实习均可。

简历请投至:kefu@jiasule.com

 

Web开发极客:

岗位描述:
承担web前/后端的技术工作,开发和维护各产品项目

岗位要求:

1、有扎实的编程功底及Python开发经验,熟悉Django、MongoDB、Redis等更优

2、熟悉JavaScript,掌握ES6特性,能熟练使用主流前端开发框架,如React、AngularJS、Node等

3、习惯在Linux环境下工作,熟悉Shell编程

4、熟悉互联网产品和服务的开发过程,有互联网产品研发经验更优

5、熟练使用Git,[……]

阅读全文

有可能你不是自己在做“羞羞”的事哦

喜欢做“羞羞”事情的人要小心啦

联网性爱玩具很容易受到黑客攻击!

黑客不仅可以远程控制性爱玩具

还能同时录制视频,这很可能将暴露你所有的隐私。

1 下午5.16.21

居然连“玩具”都黑

现在,我们能想像联网相机、远程家庭、手机、电脑甚至冰箱都很容易受到网络攻击,但是你能想象连性爱玩具都能被黑客操控了吗?最近,有安全研究员揭露了黑客如何控制性爱玩具进行网络犯罪的恶性行为事件。

这位安全研究员在现场他的电脑上输入一行命令,震动棒自动开启了!对于坐在现场的观众来说这件事非常有意思,但是这个操作产生的后果会非常严重。一旦黑客攻破网站链接到网站后台,那么黑客便可敲诈震动棒制造商了。那么,智能产[……]

阅读全文

【走进企业】第16期:知道创宇云安全助力小说阅读网十年磨砺品牌升级

十年磨砺,十年成长,阅文集团旗下小说阅读网近日(3月7日)正式对外公布全新品牌形象,并启用新域名xs.cn。品牌的升级,标志着小说阅读网发展战略的全面升级,深耕原创网络文学,夯实影视版权运营能力,构建以原创小说为中心、极致用户体验为基础、影视出版为脉络的文化生态体系。

小说阅读网自2004年创建以来,就以其独特的风格和丰富的原创内容备受广大文学爱好者的推崇,此次品牌升级,在国内网络原创文学领域更添浓墨重彩的一笔。为了应对此次品牌升级后可能遇到的网站安全问题,小说阅读网特别邀请国内知名网络安全公司知道创宇“走进企业”,在技术人员中展开了一场别开生面的免费安全培训。

E473D20B-0A9F-4D6C-975B-6F39A8182C9A

此次安全培训,由知[……]

阅读全文

【走进企业】第15期:知道创宇云安全助正勤金融做不一样的互联网金融

广州证行互联网金融信息服务公司(正勤金融)成立于2014年6月,致力于三农、小微、个人消费领域为合格主体提供互联网投融资撮合服务。成立一年多的时间,成交金额近8亿元,待收金额近2亿元,产品均实现100%本息兑付。正勤金融是广东省金融消费权益保护联合会成员、广州互联网金融协会首批会员,也是广东“互联网+信用三农”农村普惠金融行动首批践行单位。

00E1ADB4-DA85-4ECA-A461-CE471D6F8BBF

3月7日, “正勤金融”邀请国内知名网络安全公司知道创宇旗下核心云安全产品“知道创宇云安全”走进企业,高级安全顾问锅涛带领安全团队先是对正勤金融线上业务系统进行了专业的安全检测和风险评估,并对公司技术人员展开了专业知识的技能培训。

3F0DC128-186E-48B9-95C2-4AE0C7FB6713

正勤金融负责[……]

阅读全文

openssl再爆新漏洞!大型网站均受影响

近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN,这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪,受影响的HTTPS服务器数量大约为1150万左右。

1

  1.  DROWN漏洞是什么

DROWN是一种跨协议攻击,影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。

DROWN允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。此外需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用[……]

阅读全文

【走进企业】第14期:珍品网上市开门红 与知道创宇云安全达成安全合作

1月26日,国内最大的奢侈品购物网站,北京良物珍品电子商务股份有限公司(证券简称:良物珍品  证券代码:835700)宣布成功挂牌上市。自2015年5月宣布启动上市计划以来,仅用半年多的时间,珍品网成为国内第一家上市的奢侈品电商机构。珍品网成立于2011年,始终专注于面向中高端女性购物群体提供国际顶级奢侈品。

BBCC829B-7687-45EC-AA42-0F3163889B47

成功上市新三板,对珍品网而言,不仅是取得了阶段性成功,更是激发了持续进步的动力。珍品网自成立以来,一直以顾客为中心,坚持以为用户提供创新的购物体验和超值惊喜的增值服务为前进目标。从保障正品角度,珍品网联手中国联合财产保险公司为珍品网所售每一件商品承保。

从产品端出发,[……]

阅读全文

【走进企业】第13期:护航人人贷 探索服务型智能金融

人人贷 (renrendai.com) 是国内最早的一批基于互联网的P2P信用借贷服务平台。2010年5月成立至今,人人贷服务已覆盖了全国30余个省的2000多个地区,其诚信、透明、高效、可靠的口碑赢得了235万注册用户,获1.3亿美元融资,交易量现已突破136亿元。

B9E69F8E-363A-4227-AA86-765FABD2B467

对于一个 P2P平台来说,不仅仅要将互联网金融的核心思维与传统金融模式完美融合,为客户打造看得见收益的平台,更为重要的是要将安全放在首位。人人贷深谙收益、投融资、理财都必须要建立在安全的强大根基之上,建立了贯穿于整个公司业务环节的、完备的风控流程;其IT团队达百余人,对业务系统以及数据分析系统进行专业的建设和维护,[……]

阅读全文

春运回家,你都遇到哪些囧事?

过年,在记忆中是什么?是一场隆重的晚餐,是一场到处都是仪式感的忙碌,是新衣服,是辞旧岁,是迎新春,是所有人都期盼的节日,还是所有人都奔赴的晚宴?而当下在城市中如果不是看到播出红红火火的广告,哪里还能看出这是春节临近了呢。中国新年最后的年味,最后遗留的新年仪式,或许就是回家过年吧。即便年味儿再淡,新年临近时,每个人都奔赴在回家的路上。那么在你印象中最深刻的春运经历是什么呢?创宇君在知乎酱那整理了一部分,大家观摩的同时还可以给创宇君一起探讨春运那些事,让创宇君陪你回家。1133445566 加速回家路1离过年很近了,除夕倒计时11天。你是否已经安排好了归家的行程?归家心切,难免让人感觉归家路太长太长。希望加速乐像加速网[……]

阅读全文