Rapid7 研究员 Arvind Vishwakarma 在 Fortress S03 WiFi 家庭安全系统中发现了多个漏洞。这些漏洞可能导致未经授权访问控制或修改系统行为，以及访问存储或传输中的未加密信息。CVE-2021-39276 描述了CWE-287 的一个实例；具体来说，它描述了一个不安全的云 API 部署，它允许未经身份验证的用户轻松地学习一个秘密，然后可以用来远程更改系统的功能。它的初始 CVSS 分数为5.3（中等）。CVE-2021-39277 描述了CWE-294 的一个实例，一个在射频 (RF) 信号范围内的任何人都可以捕获和重放 RF 信号以改变系统行为的漏洞，初始 CVSS 分数为5.7。

2021-09-07

悬剑是一款安全渗透操作系统。其它就不多说了。继悬剑2.0后，应某朋友的要求，今天主要是体验一下悬剑武器库3.0公益版。顺便笔记一下悬剑 3.0 公益版下载、安装步骤。一、悬剑 3.0 公益版 下载百度网盘链接: https://pan.baidu.com/s/1IVOGHqz9xMUbe6qlATjUjQ 提取码: kqki二、悬剑 3.0 公益版 安装注意，解压密码是：SecQuan.org第二步：把所有的“悬剑武器库3.0公益版-disk1.7z.001”至“悬剑武器库3.0公益版-disk1.7z.010”全部选中，然后，再用7z软件提取到当前位置。注意：这里如果你导入的时候，有可能会出现“未通过 OVF 规范一致性

2021-08-30

本月更新此版本包含以下产品、功能和角色的安全更新。.NET Core 和 Visual StudioASP.NET天蓝色天蓝色球体Microsoft Azure 活动目录连接微软动态微软图形组件微软办公软件微软办公室SharePoint微软办公字微软脚本引擎Microsoft Windows 编解码器库远程桌面客户端视窗蓝牙服务Windows 加密服务Windows Defender的Windows 事件跟踪视窗媒体Windows MSHTML 平台视窗 NTLMWindows 打印后台处理程序组件NFS ONCRPC XDR 驱动程序的 Windows 服务Windows 存储空间控制器视窗 TCP/IPWindows更新Windows 更新助手Windows 用户配置文件服务请注意以下

2021-08-30

SQLI：SQL 注入攻击关键字和技巧 快收藏叭！https://mp.weixin.qq.com/s/IdqBNmyeQqPSra0OCyEjnA 干货 | SQL注入之sqli-labs（安装与配置）https://mp.weixin.qq.com/s/c7xQSyiqSlHVpFSgrn0mmA Linux操作系统之密码原理https://mp.weixin.qq.com/s/6QWtMbdDD7ZQxtBkPB55iw

2021-06-03

2020年12月18日（早晨邮报）上的主要网络安全事件：电力供应商People's Energy被黑，暴露了250,000个客户的个人信息。阿联酋网站泄漏了数千名原本计划去迪拜旅行的以色列人的个人信息。5M WordPress网站运行带有严重错误的“ Contact Form 7”插件。

2020-12-19

网络安全和基础结构安全局（CISA）了解到容易受到CVE 2018-13379攻击的Fortinet设备上可能暴露密码的情况。利用此漏洞可能使未经身份验证的攻击者访问FortiOS系统文件。可能受影响的设备可能位于美国。Fortinet已发布安全公告，着重强调缓解此漏洞的方法。CISA鼓励用户和管理员查看建议并立即应用必要的更新。此外，CISA建议Fortinet用户对任何已连接网络上的日志进行彻底检查，以检测任何其他威胁因素活动。

2020-11-30

微软在三月修补了称为CVE-2020-0796的错误，但仍有超过100,000个Windows系统易受攻击。尚未对超过100,000个Windows系统进行更新，以防止Windows中以前称为SMBGhost的补丁，严重和可蠕虫的漏洞。微软在三月份修补了作为CVE-2020-0796跟踪的远程代码执行（RCE）漏洞。它会影响Windows 10和Windows Server 2019，并且在CVSS规模上排名10之10。它存在于Microsoft服务器消息块（SMB）协议的3.1.1版本中，该协议与2017年臭名昭著的WannaCry勒索软件所针对的协议相同。“我不确定Shodan用什么方法来确定某台计算机是否容易受到SMBGhost的攻击，但

2020-10-29

9月27日，由公安部信息安全等级保护评估中心、华北电力大学信息安全工程实验室、工业信息安全产业发展联盟、中关村信息安全测评联盟和中能融合智慧能源产业联盟联合主办, 北京蓝军网安科技发展有限责任公司承办，中能融合智慧科技有限公司独家冠名的“中能融合杯”第六届全国工控系统信息安全攻防竞赛在北京隆重举办。工业控制系统是国家关键信息基础设施的重要组成部分。我国超过80%的关键信息基础设施依靠工控系统实现自动化作业。能源、电力、金融、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，事关国家安全、国计民

2020-09-28

自1991年获得自由以来，白俄罗斯曾是苏联的前身。从2020年8月9日起，针对该国连任总统的大规模抗议活动爆发，动荡已经达到一个更高的水平亚历山大·卢卡申科（Alexander Lukashenko）。示威者认为，最近结束的总统选举的结果是人为操纵的，因此向他警告说，如果他不遵守选举要求，可能会导致大规模公共服务中断。来自“网络游击队”的威胁一个名为``网络游击队''（Cyber Partisans）的白俄罗斯黑客团体在电报频道上向卢卡申科总统发表了直接威胁说明，称如果继续拘留示威者，他们将摧毁该国关键的公共控制系统。该说明中附有一张图

2020-09-16

俄罗斯ISP Rostelecom已将俄罗斯远程在线投票软件的源代码放到GitHub上，以吸引黑客和研究人员查找其中的错误这可能是第一批。俄罗斯互联网服务提供商Rostelecom已在其GitHub页面上发布了俄罗斯远程在线投票软件的源代码，以便黑客和安全研究人员可以在其中找到漏洞和错误。Rostelecom的举动是在俄罗斯远程在线投票软件遭到广泛批评之后提出的。许多参加最近举行的远程投票的俄罗斯人都抱怨该软件存在许多错误。甚至有人说俄罗斯在线投票平台很容易被黑客入侵。为了帮助发现错误和其他漏洞，Rostelecom已在GitHub此处将源代码发布。https:

2020-09-11