WordPress插件YITH WooCommerce Wishlist SQL注入漏洞

作为我们对Sucuri防火墙定期研究审计的一部分，我们发现了一个愿望清单插件YITH WooCommerce Wishlist，存在SQL注入漏洞。

5步建立起更好的IoT安全基线

企业接入点制造商Ruckus又补上了一堆指令注入漏洞，这些漏洞可致ZoneDirector控制器和Unleashed AP虚拟控制器被黑客完全掌控。

OWASP 发布 2017 Top 10 Web 应用安全威胁，Web 安全防护正当时

检查应用程序是否安全使用解释器的最快最有效的办法是代码审查，代码分析工具能帮助安全分析者找到使用解释器的代码并追踪应用的数据流。

2017安卓应用第三方SDK威胁概况

由于许多浏览器是基于Chrome内核开发的，且Android上许多应用中均会使用到浏览器的功能，一旦被爆漏洞影响将是非常大范围的。

全球船只通信系统被爆漏洞，海上网络安全面临巨大挑战

近日，一个在全球世界各地船只上被广泛安装使用的通信系统被爆存在两个高危漏洞：　　第一个漏洞-一个隐蔽的后门帐户（具有完整的系统访问权限）；

警告：船舶通信平台AmosConnect被曝后门和SQL注入漏洞

最近，全球船只上安装的卫星通信系统SATCOM被曝受到两大高危漏洞影响：　　具有全系统访问权限的隐藏后门账户；除了该后门，登录表单中的SQL注入漏洞也对该平台构成影响，攻击者可访问内部数据库存储的凭证。

数据统计政府、IT、医疗行业最易受到网络病毒攻击

季度另一种常见攻击是信息泄漏，它利用各种web应用程序漏洞，以获取有关用户、系统本身和其他敏感信息的数据。在这些应用程序已经普遍被使用的情况下，DoS攻击不仅会损害公司的声誉，而且会对患者造成不便，甚至会对公司造成直接的经济损失。

传奇黑客本杰明将亮相ISC2017 曾攻陷五角大楼

9月11日，第五届中国互联网安全大会(ISC2017)将在北京国家会议中心举行。Benjamin曾入侵过NASA(美国国家航空航天局)，发现过iOS6 1锁屏密码漏洞，微软持续性脚本代码注入漏洞。

赶紧看看吧 Linksys路由器 出事了

利用这个漏洞的唯一方法是如果默认的登录用户名和密码没有被更改，那么路由器仍然是一个常见的安全隐患。去年12月，卡巴斯基实验室的研究人员发现Android的恶意应用程序，也被设计为通过使用默认凭据在本地网络上入侵路由器。

企业靠这些 云端数据就能得到企业级的安全守护

每每谈到云安全，人们通常会说"云服务供应商应该怎样做"，因为数据与应用服务都由供应商提供。管理服务器访问的可行方法是建立集中控制机制，通过用户角色和数据类型确定访问权限，然后将这些规则推送到基于云的服务。

安全厂商的价值何在？零日漏洞这事没完

软件厂商会修复这些漏洞，但用户应该谨记，总有零日漏洞利用恣意生长。美国CIA网络间谍武器库数据泄露之后，软件厂商重申了其及时修复漏洞的承诺，告诉用户：该机构被泄文档中描述的很多漏洞都已经被修复了。

企业自身也应守护云资源安全:四种方式供参考

用云服务提供商的话讲，保证系统安全和不可渗透性还不够。保护云资源的四种方式　　以下这四大因素有助于为云资源提供企业级安全保护

周鸿祎称要保护白帽黑客 漏洞奖励愿提升至200万

2月23日消息，在360安全应急响应中心三周年庆典上，360董事长周鸿祎态度鲜明地表示，对于善意的白帽子，企业应给予支持和理解的态度，呼吁政府出台政策对白帽子这类安全人才进行保护和鼓励。

流行 WordPress 插件发现严重 SQL 注入漏洞

一个安装量超过 100 万的流行 WordPress 插件发现了严重 SQL 注入漏洞，允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该漏洞是因为对 URL 参数不正确的输入处理导致的，这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。

俄罗斯黑帽子黑了60所大学

威胁情报公司 Recorded Future 披露，一名说俄语的黑帽子黑客，入侵了超过60所大学和美国政府机构的系统。Recorded Future 一直在监视该黑客的活动，识别出了很多他的受害者，包括20多所美国大学，10所英国大学，以及很多美国政府机构。

“无文件”恶意程序潜伏银行 目标或是自动取款机

恶意程序银行ATM分类 :互联网阅读:5看起来这个恶意程序的主要目的就是为了收集系统管理员的密码及远程控制受到感染的主机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞远程执行任意代码、提升权限、更改密码或绕过身份验证等。

Netgear R7000/R6400等路由器曝远程任意命令注入漏洞

总得说来，即便采用最新版本固件，Netgear R700和R6400仍然可能被远程攻击者进行任意命令注入攻击。作为IoT的一部分，路由器也和CCTV、DVR等设备一样，会被攻击者利用、令其感染恶意程序，最终成为僵尸网络的一部分。

警惕:网件无线路由器曝出命令注入漏洞

关键的是，利用该漏洞还相当的简单，攻击者只需在局域网中，发出一个带有附加命令字符串的URL即可触发。通过欺骗本地用户点击类似的命令注入链接，攻击者还可以实现对该漏洞的远程利用。

网件证实12款无线路由器已涉命令注入漏洞

现在网件美国官网已经紧急放出了修复此漏洞的测试（beta）版无线路由器固件，针对R6250、R6400、R6700、R7000、R7100LG、R7300DST、R7900和R8000等型号。

非洲一国遭攻击断网 或是黑客组织在练手

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞287个，互联网上出现“Apple iOS远程内存破坏漏洞、NodCMS　　PHP代码执行漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。