在电商的研发体系中有一个叫做“风控”的部门，整个部门负责保障整个网站的安全、可靠。是一个比较神秘的组织，每天需要与形形色色的黑客、黄牛斗智斗勇。 那么一个电商网站会存在哪些安全隐患呢？ 1.数据的泄露 数据的重要性不言而喻，尤其是电商的数据，包含了个人信息（姓名、性别、收货地址、电话）以及购物信息，还是比较敏感的，现在国内比较大的电商平台都在搞大数据，可以算出每个用户的喜好是什么，根据每个人的不同喜好做定制的推送。甚至像阿里、京东在搞的金融业务，背后也是依赖这些常年积累下来的用户数据，基于这些数…

GitHub安全团队称沃通在没有得到他们授权的情况下签发了一个GitHub的证书。这促使GitHub安全团队和Mozilla合作对沃通进行了调查，发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制（即对SHA-1 签名证书的失效计划）和对CA的要求。更进一步的，还发现了另外一家CA公司StartCom也被沃通秘密收购，这违反了CA公司被收购需要披露信息的要求。而且，沃通公司还替换了原StartCom的基础设施、人员、政策和签发系统。面对这种情况，沃通和StartCom管理层还尝试误导，这两个公司之间的收购事实。

Karmen活跃于2016年12月份左右，当时出现在德国和美国的安全事件中。不过直到3月份它才在暗网论坛广告中现身。研究人员分析后认为Karmen衍生自开源勒索软件Hidden Tear，使用的是AES-256加密协议，加密目标是本地机器上的目标文件。

GitHub Enterprise 是一款 GitHub.com 所出品，可將整個 GitHub 服務架設在自身企業內網中的應用軟體。有興趣的話你可以從 enterprise.github.com 下載到多種格式的映像檔並從網頁上取得 45 天的試用授權!安裝完成後，你應該會看到如下的畫面

近日，国家信息安全漏洞共享平台（CNVD）收录了CNVD白帽子（ID：ayound）报送的Jackson框架enableDefaultTyping方法反序列化漏洞（CNVD-2017-04483）。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权 一、漏洞情况分析Jackson是一套开源的java序列化与反序列化工具框架，可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高，目前是Spring MVC中内置使用的解析方式。4…

4月17日至18日，主题为“创新合作共赢，引领未来发展”的2017全球未来网络发展峰会在南京江宁举办。今天上午，2017全球未来网络发展峰会开幕式在南京未来网络小镇举行。 本次盛会嘉宾云集、盛况空前，是未来网络的一场“思想盛宴”和“头脑风暴”，不仅助推江宁未来网络战略性新兴产业的发展，还将为江宁打造未来网络特色小镇奠定坚实基础。中国工程院院士邬贺铨在开幕致辞中表示，南京在江苏省委省政府和南京市委市政府的支持下，勇于承担项目牵头，以南京作为基地，这种创新的探索是有战略性眼光的。未来网络的发展过程可…

北京时间4月14日晚间，Shadow Brokers（影子经纪人）组织在互联网上发布了此前获得的部分方程式黑客组织（Equation Group）的文件信息,包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。由于其发布的攻击工具集成化程度高、部分攻击利用方式较为高效，有可能引发互联网上针对服务器主机的大规模攻击。 事件情况简要分析Shadow Brokers发布了黑客使用的大量针对Windows操作系统、银行专用系统以及其他广泛应用的服务器软件产品的工程化工具，涉及的产…

漏洞描述 Linux kernel 4.5之前的版本中的udp.c文件存在安全漏洞，Linux内核中的udp.c允许远程攻击者通过UDP流量执行任意代码，这些流量会在执行具有MSG_PEEK标志的recv系统调用时触发不安全的第二次校验和计算，远程攻击者可精心构造数据执行任意代码，进一步导致本地提权。 影响版本 Linux kernel 4.5之前的版本 漏洞等级 高危 修复建议 一些主要的Linux发行版，如Ubuntu和Debian早在今年2月份已经部署了修复后的build版本；Red Ha…

中国电信全国主干网通报：第二京汉广光缆河南驻马店一带发生中断，造成南北访问高延迟，正在抢修中。 【金山云】尊敬的金山云用户：您好！我司监控发现，目前北京机房至南方多个地区电信线路出现丢包，已上报运营商紧急处理。受此影响，以上相关地域用户访问北京机房EIP、CDN、KS3等服务均会受到影响，请贵司关注业务情况，我司将持续关注事态进展，待有新进展时随时更新通报。 【UCloud】我司11时10分监控到华北和华南地区电信线路有延迟丢包情况，初步判断是电信骨干网问题，已紧急联系运营商保障处理。11时34…

近日，国家信息安全漏洞共享平台（CNVD）收录了PHP存在任意文件上传漏洞（CNVD-2017-04180）。远程攻击者可利用前台注册功能上传任意图片木马文件，获得网站的控制权限。 一、漏洞情况分析PHPCMS采用PHP5+MYSQL做为技术基础进行开发，是一款网站建站系统，该系统采用模块化开发，支持多种分类方式，使用它可方便实现个性化网站的设计、开发与维护。PHPCMS V9.6 WAP模块对前台用户上传的文件扩展名过滤不严，导致存在任意文件上传漏洞，远程攻击者通过注册功能，使用#截断绕过对文…