两款互联网登录系统曝出重大漏洞 短期内或无法修复

最新推荐文章于 2024-09-20 09:40:28 发布
最新推荐文章于 2024-09-20 09:40:28 发布
阅读量403 收藏
点赞数
分类专栏: 中原经济区 文章标签: 互联网安全 互联网 微软 安全

几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回。尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面。一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多。

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

这可导致攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。

鉴于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及LinkedIn——Wang表示他已经向这些公司已经了汇报。

Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有站点。

Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。

至于Google,预计该公司会追踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。

讽刺的是,微软、Google、以及其它科技公司,在早几天才宣布了“资助开源安全系统研究,以避免又一个Heartbleed危机”的消息。来源于中原经济区http://www.chengshiw.com/tech/2014/328183.html

zhenhye
关注
专栏目录
工业控制系统安全综述
fzq0625的博客
07-04 190
摘 要 工业控制系统除了应用于生产制造行业外,还广泛应用于交通、水利和电力等关键基础设施.随着工业数字化、网络化、智能化的推进,许多新技术应用于工业控制系统,提高了工业控制系统的智能化水平,但其也给工业控制系统安全带来严峻的挑战.因此,工业控制系统安全倍受研究人员的关注.为了让研究人员系统化地了解目前的研究进展,调研了近3年Web of Science核心数据库、EI数据库和CCF推荐网络与信息安全国际学术会议中发表的与工业控制系统安全相关论文以及其他相关的高水平研究工作.首先,介绍工业控制系统的体系结
系统集成项目管理工程师笔记
热门推荐
gly1653810310的博客
10-26 2万+
目录依据第二版教程
国内安全团队80sec发现nginx重大漏洞
renziming的专栏
06-01 2221
<br />国内安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复漏洞的补丁。<br />由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传。具体细节:<br />http://www.80sec.com/nginx-securit.html<br />80sec团队由一群年
互联网安全面临的全新挑战
m0_66326520的博客
04-25 1004
当前移动互联网安全形势严峻,移动智能终端漏洞居高不下、修复缓慢,移动互联网恶意程序持续增长,同时影响个人和企业安全。与此同时,根据政策形势移动互联网安全监管重心从事前向事中事后转移,需加强网络安全态势感知、监测预警和应急处置能力建设。利用态势感知技术可建立移动互联网持续性和主动性监测能力,对移动互联网恶意应用、移动智能终端漏洞安全攻击等安全状况进行感知监测,实现对移动智能终端和移动应用的持续监测和管理,掌握移动互联网运行环境安全,动态监测、响应、处置、改善移动互联网安全状态。
腾讯Blade Team获封CNVD“最具价值漏洞”奖,安全研究显现产业价值
Tencent_news的博客
12-31 571
2019年12月30日,国家信息安全漏洞共享平台(CNVD)2019年工作会议在北京举行,腾讯安全研究团队Tencent Blade Team受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。 CNVD是由国家互联应急中心联合国内...
信息系统项目管理师笔记
不求重复造轮子,但必须要知道轮子是怎么造的。
04-04 2222
第一章:信息化和信息系统 1.1信息系统与信息化 信息的特征 精确性,完整性,可靠性,及时性,经济性,可验证性,安全性。 信息的传输模型 信源、信宿、信道、编码器、译码器、噪声。 信息系统的特性 目的性、整体性,层次性,稳定性,突变性,自组织性,相似性,相关性,环境适应性。 信息系统的突出特征 开放性,脆弱性,健壮性。 信息化的层次 产品信息化,企业信息化,产业信息化,国民经济信息化,社会生活信息化 信息化的内涵 信息化的主体 全社会成员,包括企业,政府,事业,团体和个人 时域: 长期
微信小程序挂号预约系统-JAVA【数据库设计、源码、开题报告】
laowang8的博客
11-22 3365
Java服务器页面的JSP(Java Server Pages)是基于Java的技术,是用来支持动态的跨平台Web服务器访问的技术[15],JSP和微软的Active Server Pages(ASP)在一定程度上相似,不同的是ASP在网页HTML文件中插入VBScript代码片段,而JSP在HTML文件中插入Java代码片段(Scriptlet)和JSP标记(tag),基于JSP的web应用具有良好的跨平台性 [16]。
网络安全服务与管理
weixin_46273733的博客
10-28 3150
等保发展历程 1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》 ——计算机信息系统实行安全等级保护,安全等级的划分标准和具体办法,由公安部分会同有关部门制定。 2003年 中办发《关于加强信息安全保障工作的意见》 ——要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。 2007年 公通字《信息安全等级保护管理办法》 ——明确了信息安全等级保护的具体要求,需要履行信息安全等级保护的义
沙钢安全信息系统_我的信息安全体系建设实践_0基础网安自学
程序员六七的博客
06-19 641
作为一名安全从业人员,在你的职业生涯过程中都会接触到不同方面的信息安全体系的建设,同时经过自我不断的学习与总结,会对信息安全体系有着自已的理解;
"互联网网络干预治疗人格障碍的范围审查
互联网干预28(2022)100525人格障碍的互联网干预范围审查Bram van der Booma,*,Nikolaos Boumparisa,Tara Donker a,b,c,Derek de Beursa, d,Arnoud Arntze,Heleen Ripera,b,f,g, ha Vrije ...
物联网和网络物理系统安全挑战与解决方案
物联网和网络物理系统1(2021)22网络物理系统:分析,挑战和可能的解决方案Amit Kumar Tyagia,b,*,N.SreenathcaCentre for Advanced Data Science,Vellore Institute of Technology,Chennai,600127,...
软件架构设计与模式之:安全架构与身份认证
程序员光剑
09-24 2639
安全性是一个软件系统最基础、最重要的问题,也是保障用户数据安全的第一道防线。作为软件安全领域的一名专家,如何为应用系统提供可靠的安全保障一直是我所关注的焦点。随着互联网信息技术的飞速发展,网络安全日益成为社会各个方面对信息系统安全的一项重大挑战。各种信息安全事件也层出不穷,这些安全威胁使得系统的整体安全水平急剧下降,在日常工作中安全意识却屡屡被忽视或低估。因此,安全架构的设计对于保障企业网络和信息系统安全,乃至保障公司利益相关者的隐私权和个人信息的安全,都具有十分重要的意义。
系统分析师学习笔记(八)
cecily044的博客
04-24 2777
企业信息化战略与实施 企业信息化概述 企业信息化是指企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和管理企业生产经营活动中的各种信息,实现企业内、外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。 1.国家信息化体系 我国国家信息化管理部门曾经列出了国家信息化体系的六个要素,它们组成了一个有机的整体。 (1)信息资源。信息资源的开发和利用是国家信息化的核心任务,是国家信息化建设取得实效的关键,也是我国信息化的薄弱环节。信息资源开发和利用的程度是衡量
WAAP解决方案:守护数字时代的安全盾牌
dexunyun的博客
09-18 1011
WAAP,即Web应用程序与API保护,是一种综合性的多层防护解决方案。它旨在通过强化认证、加密机制以及集成多种安全防护手段,如API安全、Web攻击防护、全站隔离、漏洞扫描和流量清洗等,为企业的Web应用程序和API提供全方位的安全保障。WAAP不仅能够有效防御常见的网络攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)和SQL注入等,还能应对更为复杂的DDoS攻击和API接口滥用等高级威胁。
API安全推荐厂商瑞数信息入选IDC《中国数据安全技术发展路线图》
最新发布
科技云报道
09-20 394
本次IDC TechScape研究根据技术的市场影响以及各技术的发展阶段,将包括API安全在内的22个新兴及重要的数据安全技术分为变革型技术、增量型技术以及机会型技术三大类别,详细阐述每个单项数据安全技术的发展程度、技术优劣势,并给出IDC在不同技术领域下的产品推荐厂商名录。内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
深入剖析Docker容器安全:挑战与应对策略
qq_39241682的博客
09-18 1071
Docker容器通过操作系统级虚拟化实现应用的隔离,这种方式与传统虚拟机不同,容器共享宿主机的内核。这种架构虽然简化了部署和资源利用,但也引入了安全隐患,特别是当容器与宿主机共享内核时,容器内部的漏洞可能会影响到整个系统
【农信网-注册/登录安全分析报告】
09-16 1593
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
Dependency Check:一款针对应用程序依赖组件的安全检测工具
FreeBuf_的博客
09-19 1933
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞
隐藏Win9x登录名与系统安全漏洞修复实例
接下来,文档详细列举了Windows9x系统存在的两个关键漏洞:一是DOS设备名引发的系统崩溃问题,当文件或文件夹名称中包含DOS设备名时可能导致系统不稳定。解决这一问题的方法是通过微软官方网站下载并安装相应的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值