本周的主要新聞集中在安全漏洞方面：Linux glibc幽靈漏洞、蘋果OS X系統(tǒng)高危漏洞、Adobe Flash漏洞、安卓手機BlackPhone安全漏洞。其中，幽靈漏洞: GNU glibc gethostbyname 緩沖區(qū)溢出漏洞影響了大量Linux系統(tǒng)及其發(fā)行版。這個漏洞可以允許攻擊者遠程獲取操作系統(tǒng)的最高控制權限，該漏洞CVE編號為CVE-2015-0235。另外，P2P平臺面臨年關兌付高峰，黑客們又開始了“趁火打劫”!

Linux glibc幽靈漏洞

Linux glibc幽靈漏洞的產生是Qualys公司在進行內部代碼審核時，發(fā)現了一個在GNU C庫(glibc)中存在的__nss_hostname_digits_dots函數導致的緩沖區(qū)溢出漏洞。這個bug可以通過gethostbyname *()函數來觸發(fā)，本地和遠程均可行。該漏洞造成了遠程代碼執(zhí)行，攻擊者可以利用此漏洞遠程獲取系統(tǒng)進程當前的權限。

幽靈漏洞(GHOST)影響大量Linux系統(tǒng)及其發(fā)行版

CVE-2015-0235：幽靈(GHOST)漏洞解析

幽靈漏洞(GHOST)檢測方法及修復建議

其他安全漏洞

號稱最安全的安卓手機BlackPhone爆出安全漏洞

Flash曝嚴重安全漏洞 影響全部版本Windows系統(tǒng)

谷歌安全團隊公布蘋果OS X系統(tǒng)三個高危漏洞

P2P平臺安全

據悉，進入2015年以來，國內多家P2P行業(yè)相關公司均慘遭黑客攻擊。最近，紅嶺創(chuàng)投又中槍，而此前，人人貸、拍拍貸、翼龍貸、有利網、網貸之家等多家P2P行業(yè)相關公司均慘遭黑客攻擊。業(yè)內人士稱，類似頻繁高強度的攻擊，在中國的P2P行業(yè)內已經是“公開的秘密”。針對P2P行業(yè)防不勝防的黑客攻擊，全國人大財經委副主任、著名經濟學家吳曉靈調查發(fā)現，廉價的網貸系統(tǒng)軟件是P2P行業(yè)遭遇全球黑客圍剿的罪魁禍首，多數遭遇黑客攻擊的平臺不僅沒有專業(yè)的運營團隊，更沒有對風控的把握能力，在技術、安全方面幾乎為零。

吳曉靈：中國P2P安全隱患招來全球黑客圍剿

P2P已成黑客重災區(qū) 嚴重程度簡直駭人聽聞

技術解析

SnoopSnitch應用是一款用來分析移動無線電通信的移動安全軟件。該應用使得用戶能夠知道是否有人正在窺探他們的通信流量，它可以發(fā)現偽基站和瞄向用戶設備的SS7利用。

想要知道誰在監(jiān)控你?用SnoopSnitch反監(jiān)控

新型雷達技術Range-R發(fā)出的無線電波可以探測到任何輕微的動作。只要在50英尺內，Range-R就可以探測到你的呼吸。只要該裝置存在于你家附近，警察就可以通過它發(fā)射雷達脈沖，掃描探測你房中的每一個物體。它的檢測機制對移動物體特別敏感，可以清楚地分辨物體為“動體”和“呼吸體”。

新型穿墻監(jiān)控雷達Range-R：讓你的隱私無所遁形

在一次測試中，筆者碰到了一個sql注入的問題，在網上沒有搜到解決辦法，數據庫是MySQL5.x,SQL語句類似下面這樣：SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點】。針對這種注入點在limit關鍵字后面的場景該如何處理？

Mysql注入點在limit關鍵字后面的利用方法

NTP放大攻擊其實就是DDoS的一種。NTP放大使用的是MONLIST 命令，該命令會讓 NTP 服務器返回使用 NTP 服務的最后600 個客戶端IP。通過一個有偽造源地址的NTP請求，NTP 服務器會將響應返回給那個偽造的 IP 地址。你可以想象，如果我們偽造受害者的 IP 對大量的NTP服務器發(fā)送MONLIST請求，這將形成DOS攻擊。顯然我們不能容忍這樣做，那么如何去發(fā)現有多少 NTP 服務器能夠發(fā)大這種數據？

如何發(fā)現NTP放大攻擊漏洞