freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf早报 | 万豪国际被罚1840万英镑;2020年XSS漏洞赏金达420万美元
  • 关注
FreeBuf早报 | 万豪国际被罚1840万英镑;2020年XSS漏洞赏金达420万美元
2020-11-01 16:19:14

全球动态

1.2020年,企业为XSS漏洞支付了420万美元的漏洞赏金

跨站点脚本(XSS)问题是最常见的漏洞,在HackerOne漏洞报告平台上获得奖励也是最高的。与2019年相比,该漏洞增加了134%,企业通过HackerOne平台总共支付了400万美元的赏金。[外刊-阅读原文]

2.SANS为所有高中学生启动了新的Cyber​Start计划

SANS已向所有美国高中学生(不仅是女生)开放了Cyber​Start计划,旨在吸引大约56000名学生参加。比赛于2020年11月15日开始,延续到2021年2月底。[外刊-阅读原文]

3.威斯康辛州共和党在美大选前被黑客盗走230万美元

在美大选前几周,黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉,这起盗窃案在10月22日被注意到,威斯康辛州共和党主席Andrew Hitt表示,FBI目前正在调查此案。[阅读原文]

4.黑客正在出售从17家公司失窃的3400万用户记录

黑客正在出售帐户数据库,其中包含总计3400万条用户记录,他们声称这些用户记录是在从17家公司数据泄露期间窃取的。[外刊-阅读原文]

5.Chrome即将拥有自己的专用证书根存储

Google已宣布计划运行自己的Chrome证书根程序/存储,这是该公司Web浏览器程序的一项重大架构转变。[外刊-阅读原文]

6.FBI称黑客将针对美国医院展开大规模勒索软件活动

FBI、卫生与人类服务部(HHS)和国土安全部网络安全与基础设施安全局(CISA)联合发布了一份网络安全预警,称他们收到了关于美国医院和医疗机构面临的网络犯罪威胁增加且迫在眉睫的可靠信息。[阅读原文]

安全事件

1.因未能确保客户个人数据安全 万豪国际被罚1840万英镑

英国信息委员办公室(ICO)表示,一项调查发现万豪未能实施适当的技术或组织措施来保护其系统上处理的个人数据,该机构对该公司未能确保客户个人数据的安全而实施处罚。[阅读原文]

2.电商平台Lazada 110万账户信息被黑客入侵

阿里巴巴旗下电商平台、新加坡电子商务公司Lazada今日宣布,其110万账号信息被黑客入侵。在这个拥有570万人口的国家(新加坡),这显然是一次重大的黑客入侵事件。[阅读原文]

3.Windows10 更新永久移除 Adobe Flash

Adobe Flash 将于 2020 年 12 月 31 日终止支持,微软释出了更新 KB4577586永久性移除 Adobe Flash,在移除之后用户将无法再重新安装。该更新尚未通过 Windows Server Update Service (WSUS) 推送给用户,而是需要通过 Microsoft Update Catalog 下载和安装。[阅读原文]

4.Google Project Zero 披露正被利用的 Windows 0day 漏洞

Google 安全团队 Project Zero 披露了一个正被利用的 Windows 0day 漏洞。因为该漏洞正被利用,Google 安全研究人员给了微软 7 天时间去修复,而微软可能需要等到 11 月例行安全更新时才可能修复漏洞。[阅读原文]

5.微软警告称,威胁参与者正在积极利用Zerologon漏洞

微软研究人员警告说,威胁行动者正在继续积极利用ZeroLogon漏洞进行野外攻击。利用此漏洞,可以假冒任何计算机,包括域控制器本身,并执行远程调用。[外刊-阅读原文]

6.Emotet恶意软件想要邀请目标参加万圣节派对

为了利用这种活动,Emotet恶意软件团伙正在发送垃圾邮件,邀请目标群体参加“万圣节派对”。通过包含恶意Word文档的电子邮件传播,引诱目标群体感染。[外刊-阅读原文]

优质文章

1.中美科技竞争的历史逻辑与未来展望

从国际力量格局的变化看,科技起到了关键的催化作用。这也可以解释为什么美国会将互联网视为其全球主导权的支柱,并采取“全政府”手段对中国进行打压。[阅读原文]

2.CrowdStrike | 无文件攻击白皮书

无文件攻击(Fileless attack)是不向磁盘写入可执行文件的攻击方法,难以被常规方法检测出来。根据CrowdStrike统计,“10个成功突破的攻击向量中有8个使用了无文件攻击技术。”即80%的成功入侵都使用了无文件攻击。根据二八原理,这显然是安全人员应该高度关注的技术类型。[阅读原文]

3.聚反奸防谍之力——写在反间谍法颁布实施六周年之际

反间谍法颁布实施六周年以来,反间谍工作在法治轨道上不断深化发展,全社会在法治引领下凝聚形成反间谍斗争的强大合力,取得了良好的政治效果、法律效果和社会效果。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

# XSS漏洞 # Cyber​Start
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
全球动态
  • 1.2020年,企业为XSS漏洞支付了420万美元的漏洞赏金
  • 2.SANS为所有高中学生启动了新的Cyber​Start计划
  • 3.威斯康辛州共和党在美大选前被黑客盗走230万美元
  • 4.黑客正在出售从17家公司失窃的3400万用户记录
  • 5.Chrome即将拥有自己的专用证书根存储
  • 6.FBI称黑客将针对美国医院展开大规模勒索软件活动
安全事件
  • 1.因未能确保客户个人数据安全 万豪国际被罚1840万英镑
  • 2.电商平台Lazada 110万账户信息被黑客入侵
  • 3.Windows10 更新永久移除 Adobe Flash
  • 4.Google Project Zero 披露正被利用的 Windows 0day 漏洞
  • 5.微软警告称,威胁参与者正在积极利用Zerologon漏洞
  • 6.Emotet恶意软件想要邀请目标参加万圣节派对
优质文章
  • 1.中美科技竞争的历史逻辑与未来展望
  • 2.CrowdStrike | 无文件攻击白皮书
  • 3.聚反奸防谍之力——写在反间谍法颁布实施六周年之际