摘要: 央行:今年年底前金融服务机构网站应支持IPv6连接访问1月10日,央行、银保监会和证监会联合发布了关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见。《意见》提出,到2019年底,金融服务机构门户网站支持IPv6连接访问。到2010...
央行:今年年底前金融服务机构网站应支持 IPv6 连接访问 
1月10日,央行、银保监会和证监会联合发布了关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见。《意见》提出,到2019年底,金融服务机构门户网站支持IPv6连接访问。到2010年底,金融服务机构面向公众服务的互联网应用系统支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力。到2021年期,做好金融行业面向公众服务的互联网应用系统IPv6改造基础上,持续推进IPv6规模部署,逐步构建高效率、广普及、全覆盖、智能化的下一代互联网。
参考来源:
https://www.thepaper.cn/newsDetail_forward_2837743
研究称 DNS 劫持攻击规模惊人 
研究人员对劫持域名的 DNS 攻击发出了警告,称攻击规模史无前例。攻击者首先设法窃取目标 DNS 服务商管理面板的登录凭证,然后修改目标域名的 IP 地址,将其指向攻击者控制的服务器。攻击者之后再利用 Let’s Encrypt 自动生成合法证书。当用户访问目标域名,他们会先访问攻击者的服务器然后再重定向到合法服务器,整个过程用户唯一的感觉可能就是延迟略微增加。攻击者之后能收集到用户名和密码,而终端用户对此几乎一无所知。研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名,认为攻击者可能与伊朗有关联。
参考来源:
https://www.solidot.org/story?sid=59282
2018 Web 应用漏洞数量比 2017 增加了 21 % 
Imperva 1月10日发布了“ 2018 Web 应用漏洞现状”报告。数据显示,2018 年发现的 Web 应用新漏洞共 17,142 个,比 2017 年增加了 21% ,相比 2016 年增加了 159% 。其中有超过一半的漏洞可被黑客公开利用,有超过 1/3 的漏洞暂时还没有可用的解决方案。CMS 方面,WordPress 的漏洞数量持续增加。Drupal 虽然数量低于 WordPress ,但造成的影响更大,被用于大规模攻击。此外,物联网、弱验证,以及 PHP 相关的漏洞数量有所下降。
参考来源:
https://www.cnbeta.com/articles/tech/807463.htm
ThinkPHP5 再爆任意代码执行漏洞 
继去年12月10日爆出任意代码执行漏洞后,创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前,已发现境外黑客对国内政府、企业等网站进行探测,请相关单位企业做好防御应急工作。ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。由于 ThinkPHP 框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者可以在服务端执行任意恶意代码。
参考来源:
http://hackernews.cc/archives/24709
随着美国政府关闭,许多 TLS 证书到期让网站无法访问 到目前为止,美国政府关闭已经看到国家公园和政府部门无人值守,1月12日是数十万联邦工人不会收到薪水的第一个发薪日。关闭的另一个副作用是许多政府网站因其TLS证书已过期而处于脱机状态,并且没有人可以续订它们。网站受影响的机构包括美国航空航天局,美国司法部和上诉法院。据Netcraft称,总共有大约80个或更多的TLS证书已经过期,这使得许多站点无法被公众访问。具有过期TLS证书但未实施HSTS的政府网站在用户的浏览器中显示HTTPS错误,但可以绕过此错误以通过HTTP访问该站点。
参考来源:
https://www.cnbeta.com/articles/tech/807811.htm
TCL 部分阿尔卡特手机被发现预装了恶意程序 TCL 制造的部分阿尔卡特手机被发现预装了恶意版天气应用。TCL 拥有阿尔卡特、黑莓和 Palm 等知名品牌。它在阿尔卡特手机上预装了自己开发的天气应用 Weather Forecast-World Weather Accurate Radar,该应用也通过 Google 应用商店提供给其他用户。但在去年的某个时候,设备上预装的和 Play Store 里提供的应用都感染了恶意程序,恶意程序如何进入应用目前还不得而知。移动安全公司 Upstream 发布报告称,应用会收集用户数据并将数据发送到中国的一台服务器。收集的数据包括了地理位置、电子邮件地址和 IMEI 码。
参考来源:
https://www.cnbeta.com/articles/tech/807701.htm
黑客正利用零宽空格绕过 MS Office 365 防护措施 
安全研究人员警告称,网络犯罪分子和邮件诈骗者正在利用一种简单技术绕过微软 Office 365 的安全功能,包括旨在保护用户免受恶意软件和钓鱼攻击的 Safe Links。Safe Links 被 Office365 集成到高阶威胁防护 (ATP) 解决方案中,它可通过微软所有的安全 URL 替换收件箱中的所有 URL 来运作。因此,每当用户点击邮件中的某个链接时,Safe Links 首先会将链接发送到微软所有的域名中,以检查原始链接中是否含有可疑内容。如果微软的安全扫描器检测到任何恶意元素,它向用户发出警告信息,如未发现则将用户重定向至原始链接。然而,云安全公司 Avanan 的研究人员披露了攻击者如何使用零宽空格 (ZWSPs) 绕过 Office 365 的URL 名誉检测和 Safe Links URL 防护功能。
参考来源:
http://codesafe.cn/index.php?r=news/detail&id=4661
关于安全帮®
安全帮®,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
