前不久,TikTok被发现存在两个安全漏洞,攻击者将两个漏洞结合后,如果是通过第三方应用程序注册的账户,只需要单击一下就可以轻松接管账户。
总部位于北京的字节跳动公司(ByteDance)旗下的社交媒体平台一般被大家用于分享3到60秒简短的手机循环视频。
根据Google Play商店的官方统计,TikTok的Android应用程序当前安装量已超过10亿。根据Sensor Tower Store Intelligence的估计,到2020年4月,全网移动平台的安装量都将突破20亿大关。
德国漏洞赏金猎人Muhammed Taskiran在TikTok url参数中发现了一个反射型跨站点脚本(xss)安全漏洞,也称为非持久XSS,该漏洞反映了未经适当消毒的值。
Taskiran发现反射型的XSS可能也导致数据泄露,同时对公司的www.tiktok.com和m.tiktok.com域进行了模糊测试。
他还发现TikTok的一个API端点易受跨站点请求伪造(CSRF)的攻击,该攻击可以更改通过第三方应用程序注册的用户的帐户密码。
Taskiran说:“这个端点使我能够为使用第三方应用程序注册的帐户设置一个新密码。”
“我通过构建一个简单的JavaScript payload(触发CSRF)将这两个漏洞结合起来,并从一开始就将其注入到易受攻击的URL参数中,以存档“一键式帐户接管”。
Taskiran于2020年8月26日向TikTok报告了帐户接管攻击链,ByteDance公司解决了这些问题,并于9月18日奖励了漏洞猎手3860美元的赏金。
字节跳动公司去年修复了更多帐户劫持漏洞
TikTok还解决了其基础架构中的一系列安全漏洞,阻止了潜在的攻击者通过劫持帐户来操纵用户的视频并窃取其信息的可能。
Check Point研究人员于2019年11月下旬向ByteDance公司披露了这些安全问题,ByteDance在一个月内修复了这些漏洞。
攻击者可能使用TikTok的SMS系统,通过这些漏洞来上传未经授权的视频或是删除视频,将用户的视频从私人设备转移到公共场合,并窃取敏感的个人数据。
“TikTok致力于保护用户数据,”TikTok安全工程师Luke Deshotels表示,“像许多组织一样,我们鼓励负责任的安全研究人员在私下向我们披露0day漏洞。”
塞尔吉·加特兰(Sergiu Gatlan) 2020年11月23日 下午06:28
自己生成的SSL证书与购买的SSL证书有什么区别?
自己生成的SSL证书也叫自签名SSL证书,签发很随意,任何人都可以签发,容易被黑客仿冒利用,不是由正规的CA机构颁发的,所以不受浏览器的信任。
而付费的SSL证书,是由受信任的CA机构颁发的,申请时会对域名所有权和企业相关信息进行验证,安全级别是比较高的,而且备受各大浏览器的信任。 当然是付费的好。
任何网站安装了自签名SSL证书都会存在很大的安全隐患和风险。为了让大家更好的了解它的弊端,对这些隐患和风险做了个归总,具体如下:
1、自签SSL证书最容易被假冒和伪造,被欺诈网站利用
2、部署自签SSL证书的网站,浏览器会持续弹出警告
3、自签SSL证书最容易受到SSL中间人攻击
4、自签SSL证书没有可访问的吊销列表
5、自签SSL证书支持超长有效期,时间越长越容易被破解
由以上几条自签名SSL证书的弊端可见,其具备着诸多的风险,所以建议还是选择付费SSL证书更为妥当。 安信SSL证书上有多种不同类型的SSL证书品牌,均与全球多家知名的CA机构有合作,质量靠谱可信。
最后,如果您的网站使用付费SSL 证书 (SSL Certificates),并显示了签章 (Secured Seal),您的客户就知道他们的交易安全可靠,并且充分信赖您的网站。
超级巡警和360安全卫士到底哪个好?
没有十全十美的好,如果不是那样,那还有谁制造那么多的不同的杀毒软件,每种杀毒软件都会有各自的优势,当然和其他相比有优势大一点的,但优势大一点的缺点也不一定小,所以有些杀毒软件需要钱。 所以要根据你自己的情况而定,看看那个跟符合你的电脑网络以及自身嗜好的特点而定。 下面详细分析一下两种杀毒软件的特点:360不是杀毒软件,只是一款系统清理软件,360安全卫士是国内最受欢迎免费安全软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,卡巴斯基杀毒,系统实时保护,修复系统漏洞等数个强劲功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全保护。 最近又有更新:1. 新增系统全面体检,安全隐患一网打尽 漏洞补丁、恶评插件、流行木马……系统全部安全隐患,只需数秒全盘检出。 2. 最新流行软件推荐,最酷最安全软件快速拥有 新增最新流行软件推荐,最酷最安全软件快速下载,玩酷一夏。 3. 漏洞补丁即下即装,修复更智能快捷 增强漏洞补丁模块,即下即装,智能修复更快捷方便。 4. 增强痕迹清理功能,全面保护上网隐私 更强劲清理系统使用痕迹,保护上网隐私同时优化系统速度。 5. 查杀最新流行木马,更强劲,更彻底 全面彻底查杀最新机器狗四代、新型AV终结者等最新最恶劣木马。 6. 360文件知识库智能查询 系统中的诸多文件孰好孰坏?只要有了360文件知识库,自己就能揪出木马病毒。 超级巡警可以全面查杀流行病毒和木马,是国内唯一的免费无限制杀毒软件;超级巡警是专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。 提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码!V4版又有新特点:1.全面采用第二代引擎技术。 2.查毒窗口增加定位到文件功能菜单 3.在扫描窗口设置中和主设置中,增加显示壳信息功能。 4.进一步扩充广谱特征规则,将第一代特征中的14万特征码压缩为8万。 5.独家使用微软签名扫描核对系统文件,结合使用iChecker技术。 6.解决原inline hook方式在多CPU下不稳定的问题 7.安全优化-系统修复中增加修复IFEO映像劫持功能 8.安全优化-系统修复中增加修复修复安全模式启动功能 9.内存占用优化 10.修正垃圾清理 - 智能扫描的浏览按钮自动消失的问题。 11.扫描窗口增加暂停/继续扫描/停止扫描功能,增加扫描后关机的选项。 12.扫描窗口增加跳过功能,在扫描大的压缩文件时可以点击跳过不在扫描。 13.界面应用XP系统风格。 14.目录扫描增加多目录扫描功能,可选多目录同时扫描。 15.初步进行界面/消息对话框美化处理。 16.内置最新特征库。
电脑防火墙什么作用
一、防火墙的基本概念 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。 现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。 但同时,外部世界也同样可以访问该网络并与之交互。 为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。 这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,它的作用与古时候的防火砖墙有类似之处,因此我们把这个屏障就叫做“防火墙”。 在电脑中,防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。 换言之,防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具。 防火墙是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。 因此防火墙只适合于相对独立的网络,例如企业内部的局域网络等。 二、防火墙的基本准则 1.过滤不安全服务 基于这个准则,防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放,对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。 这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许用户使用。 2.过滤非法用户和访问特殊站点 基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。 这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。 三、防火墙的基本措施 防火墙安全功能的实现主要采用两种措施。 1.代理服务器(适用于拨号上网) 这种方式是内部网络与Internet不直接通讯,内部网络计算机用户与代理服务器采用一种通讯方式,即提供内部网络协议(NetBIOS、TCP/IP),代理服务器与Internet之间的通信采取的是标准TCP/IP网络通信协议,防火墙内外的计算机的通信是通过代理服务器来中转实现的,结构如下所示: 内部网络→代理服务器→Internet 这样便成功地实现了防火墙内外计算机系统的隔离,由于代理服务器两端采用的是不同的协议标准,所以能够有效地阻止外界直接非法入侵。 代理服务器通常由性能好、处理速度快、容量大的计算机来充当,在功能上是作为内部网络与Internet的连接者,它对于内部网络来说像一台真正的服务器一样,而对于互联网上的服务器来说,它又是一台客户机。 当代理服务器接受到用户的请求以后,会检查用户请求的站点是否符合设定要求,如果允许用户访问该站点的话,代理服务器就会和那个站点连接,以取回所需信息再转发给用户。 另外,代理服务器还能提供更为安全的选项,例如它可以实施较强的数据流的监控、过滤、记录和报告功能,还可以提供极好的访问控制、登录能力以及地址转换能力。 但是这种防火墙措施,在内部网络终端机很多的情况下,效率必然会受到影响,代理服务器负担很重,并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。 2.路由器和过滤器 这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问Internet。 路由器只对过滤器上的特定端口上的数据通讯加以路由,过滤器的主要功能就是在网络层中对数据包实施有选择的通过,依照IP(Internet Protocol)包信息为基础,根据IP源地址、IP目标地址、封装协议端口号,确定它是否允许该数据包通过。 这种防火墙措施最大的优点就是它对于用户来说是透明的,也就是说不须用户输入账号和密码来登录,因此速度比代理服务器快,且不容易出现瓶颈现象。 然而其缺点也是很明显的,就是没有用户的使用记录,这样我们就不能从访问记录中发现非法入侵的攻击记录。
发表评论