2015年04月30日，绿盟科技发布2014年互联网金融安全报告。报告收集了在2014年互联网金融行业中的134份安全漏洞，对互联网金融常见的安全漏洞进行了统计及深入分析，并从业务设计角度给出了防护方案，包括越权漏洞代码防护、任意用户密码修改、恶意注册代码防护、恶意短信代码防护等。报告对于互联网金融组织及从业人员具有参考价值。以下是报告全文。

近日，包括我在内的不少用户的邮箱都遭到了黑客的邮件列表攻击，黑客通过脚本自动给邮箱订阅大量公共邮件列表（尤其是自由和开源软件项目邮件列表），于是海量的订阅确认邮件都发送过来，一天能收到数万封这类邮件，我的Gmail邮箱和QQ邮箱都遭到了攻击。

据谷歌安全博客报道，在三月上旬出现了一种新型的DDOS攻击方法，这种攻击通过拦截正常网页的内容，注入恶意JavaScript代码，来实现对目标网站的攻击。

现在，许多公共场所都会提供免费WiFi，但在方便上网之余，我们也应该提高警惕，了解一些在使用公共WiFi时需要注意的安全事项，避免手机因为使用公共WiFi遭受攻击，造成个人信息泄露和财产损失。

全球知名的软件代码托管网站GitHub从3月26日开始，遭到其网站历史上最大规模DDoS攻击。截止目前攻击已经超过了80多个小时并且仍在继续。GitHub指出，攻击者的目的是逼迫Github移除反审查项目Greatfire。

根据谷歌官方安全博客报道和Mozilla官方博客报道，谷歌发现CNNIC颁发了多个针对谷歌域名的伪造CA假证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。

2015年央视315晚会中，央视曝光了免费WiFi带来的危害，用户用手机连接没有密码的WiFi后，可能面临邮箱、网银、支付宝等重要密码被窃取的危险。晚会现场的网络安全工程师表示，建议登陆网银、支付宝等App的时候关闭WiFi功能，使用手机的3G、4G数据流量进行操作。

2015年央视315晚会中，央视曝光了免费WiFi带来的危害，用户用手机连接没有密码的WiFi后，可能面临邮箱、网银、支付宝等重要密码被窃取的危险。

网络安全威胁正在变得日益复杂，各类攻击目标、手段及来源始终在不断的发生着变化，随之企业及各类组织需要不断关注这些发展态势，以便能够理解与预测未来可能遭遇的恶意攻击，进而应对复杂变化所带来的挑战。

路透社今日报道称，中国政府已经将一些全球知名技术品牌从政府采购名单中删除，同时又增加了上千种本土产品。有业内人士称，此举主要出于安全因素考虑。

据英国《金融时报》报道，俄罗斯研究人员表示，他们在全球最大制造商生产的个人电脑硬盘中，发现了多种设计精密的黑客工具。总部驻莫斯科的网络安全公司卡巴斯基实验室（Kaspersky Labs）表示，该公司已在30个国家所用电脑中发现了这种间谍软件。这些国家包括伊朗、巴基斯坦、俄罗斯和中国，长期以来它们一直是美国情报机构的工作重点。

网络时代的到来从根本上改变了人们的生活方式和生存方式,给人们的生产生活带来了极大的方便。但是，网络具有双面性，大家在体现网络时代的巨大优势和潜力的同时，也使人们的隐私和权力受到前所未有的严峻挑战，在网络环境下非法搜集、整理、分析、和传播个人隐私比以往任何时候都容易的多。随着中国互联网的快速野蛮发展，国内各个互联网公司往往急功近利，通过各种手段获取网民隐私，而有些网站由于技术能力有限，往往无法保证收集来的数据的安全性，因此类似CSDN泄密门以及12306用户数据泄露等安全事件的不断上演，导致目前国内互联网几乎处于无隐私的现状。

最近1-2周，关于 CNNIC 的 CA 证书问题，网上搞得沸沸扬扬。但是，即使是一些 IT 行业的技术人员，也搞不太明白该问题的严重性（至于不懂技术的傻瓜用户，就更甭提了）。主要在于 CA 证书是一个相对专业的东东，大伙儿平时接触不多。那电脑中有了CNNIC的证书，会出现啥事呢？

全球知名安全公司McAfee实验室日前在其官方博客上称，其研究人员发现搜狗输入法收集并上传用户设备信息，且利用明文HTTP传输用户的个人信息和企业数据，这很容易导致信息被黑客截取。McAfee实验室表示搜狗输入法此举匪夷所思，并呼吁其在安全开发周期中修补这些漏洞。

什么杀毒软件最好，我们应该安装什么样的杀毒软件？看到这个题目，大家或许会觉得好笑。什么杀毒软件最好，我们当然就安装它了，一句话就能说清楚的事，为什么要用两句话呢？

在12306被报道超13万用户信息泄露后，中国铁路客户服务中心回应称，12306所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系其他网站或渠道流出，暗示数据泄漏为第三方抢票软件导致。针对此事，百度、360公司、猎豹等已纷纷作出回应，否认用户数据从自身平台泄露。

12月25日，国内漏洞报告平台乌云官网爆出，大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等信息。

2014年11月24日，黑客组织“和平卫士”（Guardians of Peace）公布索尼影业员工电邮，涉及公司高管薪酬和索尼非发行电影拷贝等内容。美国情报官员认为，该网络攻击获得朝鲜政府资助。

大数据作为云计算、物联网之后IT行业又一大颠覆性的技术革命。云计算主要为数据资 产提供了保管、访问的场所和渠道，而数据才是真正有价值的资产。企业内部的经营交易信息、互联网世界中的商品物流信息，互联网世界中的人与人交互信息、位 置信息等，其数量将远远超越现有企业IT架构和基础设施的承载能力，实时性要求也将大大超越现有的计算能力。

今天访问乌云网的时候发现一片空白，上面留有乌云网官方的声明：WooYun今天中午受到不明DDOS攻击，目前正在处理中。

众所周知，我们正处在一个存在着各种诈骗、劫持的网络年代，我们的各种帐号密码很多时候都能很容易地被黑客窃取。由此很多网站使用HTTPS来保护用户的信息不被窃取。而HTTPS本身所使用的SSL协议也并不是完美无缺，即使能确保本机安全，也还存在着各种SSL劫持了，令人防不胜防。

近些日子，小蒋的一篇博文引起了广大主机商的关注。其原因是小蒋运营的创智主机被提交了漏洞到乌云网上在这篇文章中小蒋给出了解决方法，就是采用禁用函数的方法来保证服务器环境的安全。

安全协议OpenSSL今日爆出本年度最严重的安全漏洞。此漏洞在黑客社区中被命名为“心脏出血”，利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到用户登录账号密码，或欺骗用户访问钓鱼网站。

随着网络的逐步普及，网络安全已成为INTERNET路上事实上的焦点，它关系着INTERNET的进一步发展和普及，甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望，网络安全技术也不断出现，使广大网民和企业有了更多的放心，下面就网络安全中的主要技术作一简介，希望能为网民和企业在网络安全方面提供一个网络安全方案参考。

个人站长是一个非常特别的群体，通常就是一个人对着一台电脑，做一个站运营，网站的搭建、技术、内容、推广、广告、安全等全是一个人负责，可以说是样样会，但未必样样都精通，其中最令人头痛的一个问题可能是网站的安全问题。

之前在安全联盟进行网站认证都是免费的，然而，近日，安全联盟官方给安全联盟所有会员发了一条邮件，因安全联盟认证申请量较大，目前已出现供不应求、认证审核队列过长的情形。在广大站长呼吁下，为了提升认证审核效率，提供既权威又高效的网站认证服务，安全联盟决定将现有的认证审核业务全权委托给品牌宝。品牌宝将作为安全联盟认证唯一指定的认证审核服务平台。

环球时报发布了一篇文章，称中国国内大面积域名21日15时左右出现解析异常情况，致使部分用户无法正常访问网站。国家互联网应急中心22日证实，是由于根服务器遭受网络攻击所致。

美国安全服务商RSA在官方博客中发表文章，“完全否认”了近期路透社有关该公司与美国国家安全局(NSA)合作，在加密算法中添加后门的报道。

援引路透社报道根据斯诺登泄漏的文件称受国家标准委员会NIST批准，美国美国安全局（NSA）和加密公司RSA达成了价值超过$1000万的协议，要求在移动终端中广泛使用的加密技术中放置后门，能够让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。对此RSA否认了相关的内容，声 称自己的加密算法只使用了国家认证的协议。而NSA则拒绝发表评论。

在过去30年里，硬盘一直是存储的主力，没有人会怀疑硬盘在整个电脑中的重要作用，硬盘通常都会存储用户比较重要的信息，鉴于我们对于硬盘的严重依赖，人们都不约而同地关心一个重要的问题：硬盘的寿命到底有多久？

现在已经不常上博客来了，因为移动互联网的到来，资讯的获取大多数时候是在微博、微信、Pad 客户端上。无意中看到月光博文的这篇《电信级的RSA加密后的密码的破解方法》，个人的感觉是“匪夷所思”，一个堂堂的巨大公司居然会盗取用户的密码，这世界真是太不可思议了……算了，也不去论证这种事情存在的原因，以及它对如此巨量用户的伤害，作为一个普通的用户个体，在无法寄望于正常的保护后，我们还是来想办法怎么自己保护自己吧。

最近媒体报道了一种新型的能记录账号、密码输入的“USB键盘记录器”，引发网友关注，该设备看上去和普通U盘没什么区别，将其插入电脑USB接口，然后把键盘线和它连接，该设备就能够自动记录用户在电脑上输入的信息。

美英三家媒体联合报道称，根据斯诺登提供的大量文件，美国国家安全局已经破解了HTTPS、SSL、VPN等全球互联网主要加密技术，以实现对互联网加密内容的监控和窃听。

支付宝和财付通等网站的快捷支付的风险：黑客先将恶意应用发布到各个应用商店或论坛里，如果用户使用Android手机下载并安装这类恶意应用，那么恶意应用就在后台拦截用户短信通讯，然后再伪装一笔转账，通过截获用户短信来完成交易，从而盗取用户资金。

据新华网等媒体报道，二代身份证被曝存天然缺陷，挂失仍可办信用卡，报道称，由于我国现行二代身份证缺乏必要的防伪功能，居民生活中丢失身份证后，即使做补办处理，原身份证仍可正常使用。大量遗失、被盗身份证正通过网络进行非法交易，并被广泛用于开办银行卡、信用卡，掩护诈骗、洗钱活动。

Google的技术项目经理John Munoz日前在Google官方博客发布了一篇文章，讲解如何保护WiFi无线网络安全，鉴于家庭WiFi网络已经非常普遍，如何防止周围邻居通过WiFi攻击你的家庭网络也成为一个现实的问题，这篇文章讲述了提升WiFi网络安全的几个简单有效的方法，全文内容翻译如下。

12306主页上有一段很显眼的文字—--“为保障您顺畅购票，请下载安装根证书。”这段文字和12306很多的其他问题一起成为网友诟病12306的话题，但是这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西。

近一段时间，“中国黑客”成了外媒眼中炙手可热的词汇。纽约时报是始作俑者，紧随其后华盛顿邮报、彭博社以及美国两大社交网络Facebook和Twitter也将矛头对准中国。甚至新闻集团总裁默多克在Twitter上直言不讳地表示这些攻击就是中国黑客所为。但他们只是猜测，而真正把事件上推向可能引起外交纠纷层面的，是一家叫做Mandiant的安全公司。Mandiant于本周二发布了一份长达76页的调查报告，名为APT1，指控解放军位于上海的某部进行了针对美国公司的黑客攻击，力图窃取商业机密。随后，国务院外交部和国防部均对此事予以否认，并称中国也是黑客攻击的受害国。

如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击，这些攻击会发现并恶意探测各种安全漏洞。

过去一段时间来，众多的网站遭遇用户密码数据库泄露事件，这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin，国内诸如CSDN一类的就更多了。

互联网现在已经完全融入到了我们的日常生活中了，一个普通人每天都会接触到互联网，各个网络服务和软件的登陆密码对我们每个人来说都是非常重要的，如果密码被盗其后果可想而知，月光博客在《个人密码安全策略》一文中详细介绍了网络用户应该如何使用和配置自己的个人密码，但这也带来了一个记忆密码的现实问题。

去年3Q大战之后，开放几乎成为了最热的词汇，随后的国内互联网看似进入了开放平台的“蜜年”，各种基于开放平台的应用和社会化登录也随之出现。