NSA 证实保留了部分 0day 漏洞用于攻击

最新推荐文章于 2023-10-12 13:59:18 发布
最新推荐文章于 2023-10-12 13:59:18 发布
阅读量167 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/114762
版权

被提名担任NSA局长的海军中将Michael Rogers致函参议院三军委员会,NSA发现的大部分0day漏洞都通知了相关厂商,但保留了部分0day漏洞用于攻击,或者称之为“国外情报收集目的”。

他说,NSA有一个专门的程序用于处理所发现的商业软件和硬件的漏洞信息,产品中发现的大部分漏洞都会披露给开发商或制造商。他称,他们默认披露美国及其盟友使用的产品或系统中发现的漏洞。
screenshot

文章转载自 开源中国社区 [http://www.oschina.net]

weixin_33694620
关注
NSA黑客工具包】Windows 0day证实
wodafa的博客
05-04 3200
面对这种指哪儿打哪儿的神级漏洞,锦行科技CTO.Jannock、长亭科技.Monster、腾讯玄武实验室.TK、腾讯湛泸实验室.yuange等国内相关安全专家也给出了一些想法和解决方案。微软MSRC也发布了一则风险评估公告,报告中指出微软MSRC分析了由Shadow Brokers公开提供 的大量漏洞,大多数漏洞都已经被修补。剩余的漏洞,也被验证在Windows7、Windows近期版本、Exchange2010以及Exchange较新版本中没有得到复现,不过微软MSRC强烈建议仍在使用这些产品先前版本的用
NGINX 0 DAY LDAP RCE 漏洞来龙去脉
u012516914的专栏
07-30 2639
背景nginx 0 day RCE 漏洞影响 nginx 18.1。根据 AgainstTheWest Github https://github.com/AgainstTheWest/NginxDay 存储库,此错误与 nginx 中的 LDAP-auth 守护程序有关,因为 LDAP 与 Nginx 的交互不多,但是,有一个与 Nginx 一起使用的 ldap-aut...
NSA保留9%由其发现的网络漏洞
weixin_34111819的博客
08-01 150
开放和NSA从来都不是一对可以愉快相处的伙伴,实际上,NSA是一个极为机密的机构。不过自斯诺登曝光其大规模监控项目之后,这个组织不得不进行一些透明化的公关活动以此来重拾民众的信任。现在,NSA采取了一个新的安全漏洞策略,即将91%由其发现的网络漏洞对外公布。至于具体的实行时间,NSA并未披露,但大多数民众最感兴趣的还是保留的那9%。 长期以来,NSA一...
VMware 修复 NSA 报告的 0day
smellycat000的专栏
12-07 291
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队VMware 发布安全更新,修复了位于 VMware Workspace One Access、Access Connect...
奥巴马允许NSA利用网络0day漏洞
Star——Flying in the cyberspace
04-21 697
华盛顿——美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(National Security Agency,简称NSA)发现网络安全存在重要漏洞0day),大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动或网络攻击。 不过,前述官员表示,奥巴马也给出了广泛的例外情况,前提是“国家安全或执法行动存
[旧文系列] NSA emissary多个漏洞分析复现和CodeQL实践
mole_exp的博客
01-17 557
文章目录关于<旧文系列>0x00 前言0x01 漏洞分析和复现Reflected cross-site scripting (CVE-2021-32092)Arbitrary File Disclosure (CVE-2021-32093)Code Injection (CVE-2021-32096)Unsafe deserialization (CVE-2021-32634)Server-side request forgery (CVE-2021-32639)SSRF-1、接口 /Regis
脱敏版-神秘黑客组织:揭秘美国0Day攻击平台与APT实战案例.pdf
11-06
它依赖于NSA在全球互联网骨干网上部署的“量子”服务器,当目标尝试访问某个网站时,量子服务器能够抢先一步响应,强制浏览器访问预设的“酸狐狸”0day漏洞攻击平台。这种方法有效地绕过了许多传统安全防护措施,...
0Day漏洞
秋不溜秋的博客
03-02 2933
定义 0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。 换句话说,该漏洞是由不直接参与项目的人员发现的。术语“0day”是指从发现漏洞到对其进行首次攻击之间的天数。0day漏洞公开后,便称为nday漏洞。 相关链接 0day漏洞何以成为黑市上的高价走俏商品? https://baijiahao.baidu.com/s?id=1607104519985871521&wfr=spider&for=pc 什么是0day漏洞? https://z
美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台
A12112H的博客
09-28 1394
酸狐狸平台一般结合“QUANTUM(量子)”和“SECONDDATE(二次约会)”等中间人攻击武器使用,对攻击目标实施网络流量劫持并插入恶意XSS脚本,根据任务类型和实际需求,XSS脚本的漏洞利用代码可能来自一个或多个酸狐狸平台服务器。“酸狐狸”漏洞攻击武器平台(FoxAcid)(以下简称“酸狐狸平台”)是特定入侵行动办公室(TAO)打造的一款中间人劫持漏洞攻击平台,能够在具备会话劫持等中间人攻击能力的前提下,精准识别被攻击目标的版本信息,自动化开展远程漏洞攻击渗透,向目标主机植入木马、后门。
什么是0day攻击?什么是Nday漏洞
logic1001的博客
10-12 1376
0day和Nday漏洞的区别是什么?
奥巴马以国家安全为由允许NSA使用0day漏洞
weixin_34236869的博客
06-07 91
《纽约时报》报导(中文), 奥巴马以国家安全为由允许NSA使用部分0day漏洞。美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(National Security Agency,简称NSA)发现网络安全存在重要漏洞,大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动...
黑客术语 什么是“0day”、“零日漏洞”?
热门推荐
EDDJH_31的博客
03-28 3万+
在刚开始接触网络安全的时候就经常看到 “0day” 这个词,也时常听到学长学姐提到“0day”这个词,后来决定学习渗透测试了,在一些论坛里还是经常看到“0day”这个词,一直也不知道什么意思。昨天就专门查了查,才知道原来 【o】day,并非字母:o,而是数字:0    , 很尴尬呀!然后看到网上说 “这是个新手甚至资深黑客经常犯的低级错误。”  原来不是我一个人这么无知 0day,中
[0day在野利用] CVE-2020-17087: Microsoft cng.sys权限提升漏洞通告
爱国小白帽
11-02 1838
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110203 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-02 0x01 漏洞简述 2020年11月02日,360CERT监测发现 Google Progect Zero 发布了 Winodws cng.sys 提权漏洞 的技术细节和验证POC,该漏洞编号为 CVE-2020-17087 ,漏洞等级:高危,漏洞评分:7.8。 未授权的攻击者通过 诱使用户
NSA_ms17010漏洞扫描(自检,请勿应用在非法途径上)
07-27
【标题】"NSA_ms17010漏洞扫描(自检,请勿应用在非法途径上)"涉及的是一个特定的网络安全技术主题,主要聚焦于微软操作系统中的MS17-010漏洞,这是一个著名的安全漏洞,由美国国家安全局(NSA)发现并公开。...
0day漏洞利用分析
08-09
此书涉及了大量的底层知识,能让读者更深入的了解计算机,了解漏洞的机制,其中也囊括一些经典的黑客技术
微信|0day|无沙箱调用Chrome內核RCE漏洞|上线CS |漏洞复现
Bluffing的博客
04-19 1183
条件: Windows微信版本<3.2.1.141 整体思路: cs客户端链接服务器 cs生成马,粘贴到js文件中,将js文件和html文件上传到服务器上搭建的网站中 将网站链接通过微信发给小A 小A使用pc版微信点击链接 cs上线 操作步骤: 1 CS客户端链接服务器 2 构造恶意js 2.1 cs生成马 新建监听 生成payload保存 2.2 添加进js文件 将payload.cs中的代码加入到js文件的shellcode中 2.3 将js文件和调用js的html文件放到公网服务器
避免 Win 7 0day 漏洞,谷歌建议升级 Win 10
weixin_33816300的博客
03-10 121
百度智能云·域名服务,.com新用户首购仅需25元 谷歌警告 Windows 7 的用户正面临着用于提权的 0day ...
动态加载概述与原理.docx
最新发布
11-07
动态加载概述与原理.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值