网站漏洞检测工具（网站漏洞检测系统）

NFT市场LooksRare推出漏洞赏金计划，赏金最高达100万美元1月26日消息，NFT市场LooksRare在Web3漏洞赏金平台Immunefi上推出漏洞赏金计划，专注于其智能合约、网站和应用程序，旨在防止用户的NFT和资金损失。该计划将根据漏洞等级支付赏金，赏金最高可达100万美元。据印度媒体报道，印度安全机构在国防研究与发展组织（DRDO）的一个顶级实验室偶然发现了一个重大漏洞，该实验室负责该国的导弹开发项目，暴露了安全网中的漏洞。该漏洞涉及滥用该组织高度安全的内部网，其中一个私人供应商通过该组织用于招标的IP地址提交了一份投标。该事件于7月发生在位于海德拉巴（Hyderabad）的先进系统实验室（ASL），该实验室负责开发设计和建造印度导弹系统所需的最先进的核心技术，包括能够携带核弹头的弹道导弹。有关招标涉及采购一个与导弹有关的部件。IP地址是一个唯一的地址，用于识别互联网或本地网络中的设备。IP是"互联网协议"的缩写，是管理通过互联网或本地网络发送的数据格式的一套规则。由于DRDO的所有实验室都是通过内部网络连接，而不是通过Wifi连接，因此ASL的IP地址泄露被认为是一个严重的安全问题。安全和情报机构更加担心，因为ASL是一个高度安全的区域，访客需要经过严格的检查才能进入。一位不愿透露姓名的印度安全官员说："如果外人可以进入你的内网设备，那么他们也可以得到与导弹开发或任何其他DRDO机密项目有关的各种信息。这不仅是一个腐败案件，而且是一个安全漏洞。"根据DRDO上个月发布的一份内部报告，在2021年4月到今年1月期间，有895起买家（政府机构）和卖家（私人供应商）之间涉嫌勾结的案件被曝光。这些案件目前正在由国防部进行审查。在ASL案件中，内部调查发现，失误发生在高级别官员层面，据称该供应商使用了实验室的系统或设备来提交投标书。DRDO发布的报告称："ASL的所有系统，包括所有工作中心，都有相同的IP地址。买方（ASL）和卖方（供应商）的IP地址被发现是相同的，这表明可能存在串通"。当被问及对ASL事件的官方反应时，DRDO的发言人没有发表任何评论。然而，ASL已经向所有利益相关者发出警告，要求他们停止允许供应商使用实验室的内部网络的做法。DRDO当局声称，所有处理合同的利益相关者都要对工作中的失误承担个人和无保留的责任，无论是他们还是下属所为。DRDO的报告指出：“严格规定，对于任何滥用系统或设备的行为，当事人或保管人都要承担个人责任，并受到严格的纪律处分"。2016年，印度政府开发了政府采购门户网站（GeM），以提高政府部门采购招标过程的透明度。GeM的主要目的是帮助政府部门和各部委，在规定的时间内，从正确的来源采购质量和数量有保障的产品或服务。别的网站都是如何消除漏洞，而这个网站以开发和设计OWASPTop10漏洞为己任一个含有OWASPTop10漏洞的网站；一个可以作为安全培训的Web应用；......做安全相关的应该比较了解这个网站吧!项目地址：网页链接千万不要使用这个repo中的代码进行项目开发！MetInfo是不是留有后门？要不然怎么知道我侵权了？MetInfo早已完全开源，大家可以通过米拓官网、第三方平台、GitHub、Gitee等下载获取源代码，米拓欢迎广大用户和技术爱好者研究MetInfo的所有源代码，如发现漏洞可及时向我们反馈。同时，国家信息安全漏洞共享平台等漏洞平台早已对MetInfo进行了监控和漏洞通报，米拓也一直在严格遵守网络安全法，收到各平台转送的漏洞提醒后，及时通过发布补丁、升级新版本的方式修复漏洞。网站是开放的，米拓自然可以通过开放的互联网获得各种域名，同时通过浏览器公开访问系统静态文件、分析URL特征等判断网站是否使用了MetInfo。近日，国家信息安全漏洞库（CNNVD）收到关于FortinetFortiOS安全漏洞（CNNVD-202210-347、CVE-2022-40684）情况的报送。成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。FortinetFortiOS7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。一、漏洞介绍FortinetFortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS存在安全漏洞，该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限，并通过特制的HTTP或HTTPS请求执行任意操作，从而最终控制目标系统。二、危害影响成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。FortinetFortiOS7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。三、修复建议目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接如下：https://docs.fortinet.com/product/fortigate/7.2美国QUARTZ网站近来一篇文章中写到，美国将进行的疫苗追踪存在很大漏洞。为了实现疫苗的部署，美国正计划将旧的、联邦化的免疫登记系统与一个名为IZGateway的新项目相连接，这是美国第一个此类系统，可以跟踪全国未来免疫接种情况。就个人而言，这是一种方便的方式，医疗保健提供者可以跟踪他们的病人可能需要接种哪些疫苗。其中约75%的登记处还允许医疗机构的医疗服务提供者查询患者是否曾在其他地方接种过疫苗。这样一个全面的注册系统带来了隐私问题。为了追踪免疫接种情况，患者必须提供他们的姓名、地址、电话号码，以及最近的电子邮件，以证明他们的身份。在疫苗接种方面，供应商必须输入疫苗制造商、批号和日期，以防召回或其他健康问题。不管IZGateway作为交换媒介有多好，它都不能解决已经存在的任何潜在的医疗保健差异。同时最大的漏洞是有些人可能被排除在这种制度之外。“我不知道你该如何与弱势群体沟通，无证移民呢？”纽约智库黑斯廷斯中心的生物伦理学家和研究学者黛安•科恩吉贝尔说。这些人可能因为害怕被抓到而不愿参与；那些无家可归、没有固定住址的人也可能会避开这个系统。目前此项目已投入研发，追踪系统依然不完善，漏洞依然存在。【价值40亿元加密货币被盗，或为最大加密货币盗窃案之一】据新浪科技，区块链网站PolyNetwork周二表示，黑客利用了其系统中的一个漏洞，偷走了数千枚数字代币，包括以太坊等，总计价值约6.1亿美元（约合人民币40亿元）。这可能是有史以来最大的加密货币盗窃案之一。但在PolyNetwork向黑客发出通牒，要求他们“建立联系并归还被窃取的资产”，并警告他们否则将会被各国执法部门追捕后，黑客们开始返还他们窃取的部分加密货币。他们向PolyNetwork发送了一条嵌入加密货币交易的信息，称他们“准备归还”资金。PolyNetwork作出回应，要求黑客将这些加密货币发送到三个地址。截至美东时间周三上午11点，价值约2.58亿美元的加密货币已被退还到PolyNetwork的地址。安全公司SlowMist的研究人员表示，总共有价值超过6.1亿美元的加密货币被转移到三个地址。其中包括2.73亿美元的以太坊、2.53亿美元的币安币、8500万美元的泰达币。SlowMist在推特上表示，其研究人员已经“掌握了攻击者的邮箱、IP和设备指纹”，并正在“追踪与PolyNetwork攻击者有关的可能身份线索”。研究人员得出的结论是，这次盗窃“很可能是一次长期计划、有组织和准备的袭击”。PolyNetwork敦促加密货币交易所将来自与黑客有关的地址的代币列入“黑名单”。据泰达币的发行方称，黑客盗走的价值约3300万美元的泰达币（Tether）已被冻结。Balancer收到白帽黑客披露的Synthetix生态代币等相关漏洞报告，目前用户资金安全5月14日消息，BalancerLabs发推表示，今日某白帽黑客通过Web3漏洞赏金平台Immunefi披露Balancer相关漏洞，Balancer官方收到一个潜在可利用场景的通知，没有用户资金处于危险之中。其中漏洞场景涉及doubleentry-pointERC20代币，包括但不限于Synthetix生态代币（SNX和sBTC等）以及Balancer闪电贷。Synthetix团队正考虑在下周升级合约，以成功移除doubleentry-point，并允许代币返回金库，而无需LP的任何干预。此中等严重性错误报告将导致资金因从V2Vault转出而被暂时冻结，没有看到这种漏洞导致实际盗窃的途径。在最近的一波攻击中，黑客利用多个插件中未修补的漏洞攻击160万WordPress站点。Wordfence最近发现WordPress网站上的“攻击急剧上升”，调查这件事情后发现，他们找到了通过易受攻击插件进行的大规模网络攻击。正如他们在文章中所阐述的，黑客利用四种不同的易受攻击插件，在36小时内攻击160万个网站。研究人员在尝试阻止1370万这样的数据中发现了这场活动。这些攻击来自16000多个IP地址。然而，攻击者针对多个Epsilon框架主题以及四个插件执行攻击。具体而言，攻击者滥用插件中未经验证的任意选项更新漏洞，这些插件包括KiwiSocialShare、WordPressAutomatic、PinterestAutomatic和PublishPress功能。而对于Epsilon框架主题，它们针对的是函数注入漏洞。我们注意到2021年12月8日袭击后的突然飙升。因为攻击者从不同的IP发起了数千次攻击。Wordfence发布的补丁已经确认所有四个插件都已经解决了该漏洞。最新的补丁来自PublishPress功能插件，就在bug受到攻击的几天前。尽管已经有了补丁（至少在三个插件的情况下是这样），但攻击的程度暗示了用户对保持网站更新的无知。这四个插件的用户应该确保你们的网站运行以下或者更高版本：PublishPressCapabilitiesversion2.3.1KiwiSocialPluginversion2.0.11PinterestAutomaticversion4.14.4WordPressAutomaticversion3.53.4同样，易受攻击的Epsilon框架主题也解决了该缺陷，Wordfence的帖子中提供了该缺陷的列表。请在评论中告诉我们您的想法。#WordPress#谷歌：两组朝鲜黑客同时利用谷歌浏览器漏洞展开攻击谷歌威胁分析小组声称，两组不同的朝鲜黑客正在利用谷歌浏览器中的相同远程代码执行漏洞——一组针对新闻媒体和IT公司，另一组针对加密货币和金融科技组织。该漏洞于2月14日修复。在其中一项活动中，谷歌研究人员看到黑客在补丁修复后多次尝试使用该漏洞，这强调了在安全更新可用时应用他们的重要性。曝光的另一场活动涉及破坏至少两个合法的金融科技公司网站以及通过隐藏的iframe投递恶意软件的虚假网站。#谷歌##黑客##漏洞攻击##it##虚假网站#