一個網路釣魚網站讓其損失近400萬美元一張GIF圖片就能讓伺服器宕機的PHP漏洞

最新 02-03

2018.02.01 周四

安全資訊

相對來說，IOTA是一種較為「年輕」的數字加密貨幣。它基於纏結（Tangle）而非區塊鏈技術，提供高效、安全、輕便、實時的輕量級交易，並且不會產生任何交易費用。一位匿名黑客精心策划了一起準備時間超過半年的「盜竊案」，他精心設計了一個釣魚網站，用以收集IOTA用戶的私鑰，並在1月19日執行了自己的計劃，成功竊取了價值近400萬美元的IOTA幣。黑客經過6個月的收集，得到了大量IOTA用戶的私鑰，並開始了他的「轉賬」計劃。

最近，台灣Web漏洞挖掘大牛Orange Tsai在對一些Web開發框架和程序實現模塊進行安全審核的過程中，發現了一些有意思的漏洞。就比如說，這個PHP的CVE-2018-5711，它能用一張GIF圖片就可導致伺服器發生崩潰直至宕機，在現實中非常容易利用。

為了處理金融詐騙、傳播色情內容等各種網路犯罪行為，印度政府計劃成立一個頂尖的網路犯罪協調中心，並且印度政府還發放83億盧比，用於在各州設立網路法證培訓實驗室和警察培訓中心。

Cisco官方發布一個安全公告，聲明修復了ASA系列防火牆中的一個遠程代碼執行漏洞，漏洞編號為 CVE-2018-0101/CWE-415。該漏洞由英國安全公司NCC Group的安全研究員Cedric Halbronn報告。CVE-2018-0101是一個二次釋放（Double Free）漏洞，CVSS評分為滿分10分，漏洞可能導致遠程代碼執行。漏洞的觸發前提是在ASA設備中啟用webvpn功能。攻擊者可以通過發送精心構造的XML數據包，實現在受影響的設備上執行惡意代碼。