一周安全要闻：幽灵漏洞现江湖 P2P遭黑客打劫

本周的主要新闻集中在安全漏洞方面：Linux glibc幽灵漏洞、苹果OS X系统高危漏洞、Adobe Flash漏洞、安卓手机BlackPhone安全漏洞。其中，幽灵漏洞: GNU glibc gethostbyname 缓冲区溢出漏洞影响了大量Linux系统及其发行版。这个漏洞可以允许攻击者远程获取操作系统的最高控制权限，该漏洞CVE编号为CVE- 2015-0235。另外，P2P平台面临年关兑付高峰，黑客们又开始了“趁火打劫”!

Linux glibc幽灵漏洞

Linux glibc幽灵漏洞的产生是Qualys公司在进行内部代码审核时，发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可以通过 gethostbyname *()函数来触发，本地和远程均可行。该漏洞造成了远程代码执行，攻击者可以利用此漏洞远程获取系统进程当前的权限。

幽灵漏洞(GHOST)影响大量Linux系统及其发行版

CVE-2015-0235：幽灵(GHOST)漏洞解析

幽灵漏洞(GHOST)检测方法及修复建议

其他安全漏洞

号称最安全的安卓手机BlackPhone爆出安全漏洞

Flash曝严重安全漏洞 影响全部版本Windows系统

谷歌安全团队公布苹果OS X系统三个高危漏洞

P2P平台安全

据悉，进入2015年以来，国内多家P2P行业相关公司均惨遭黑客攻击。最近，红岭创投又中枪，而此前，人人贷、拍拍贷、翼龙贷、有利网、网贷之家 等多家P2P行业相关公司均惨遭黑客攻击。业内人士称，类似频繁高强度的攻击，在中国的P2P行业内已经是“公开的秘密”。针对P2P行业防不胜防的黑客 攻击，全国人大财经委副主任、著名经济学家吴晓灵调查发现，廉价的网贷系统软件是P2P行业遭遇全球黑客围剿的罪魁祸首，多数遭遇黑客攻击的平台不仅没有 专业的运营团队，更没有对风控的把握能力，在技术、安全方面几乎为零。

吴晓灵：中国P2P安全隐患招来全球黑客围剿

P2P已成黑客重灾区 严重程度简直骇人听闻

技术解析

SnoopSnitch应用是一款用来分析移动无线电通信的移动安全软件。该应用使得用户能够知道是否有人正在窥探他们的通信流量，它可以发现伪基站和瞄向用户设备的SS7利用。

想要知道谁在监控你?用SnoopSnitch反监控

新型雷达技术Range-R发出的无线电波可以探测到任何轻微的动作。只要在50英尺内，Range-R就可以探测到你的呼吸。只要该装置存在于你 家附近，警察就可以通过它发射雷达脉冲，扫描探测你房中的每一个物体。它的检测机制对移动物体特别敏感，可以清楚地分辨物体为“动体”和“呼吸体”。

新型穿墙监控雷达Range-R：让你的隐私无所遁形

在一次测试中，笔者碰到了一个sql注入的问题，在网上没有搜到解决办法，数据库是MySQL5.x,SQL语句类似下面这样：SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】。针对这种注入点在limit关键字后面的场景该如何处理？

Mysql注入点在limit关键字后面的利用方法

NTP放大攻击其实就是DDoS的一种。NTP放大使用的是MONLIST 命令，该命令会让 NTP 服务器返回使用 NTP 服务的最后600 个客户端IP。通过一个有伪造源地址的NTP请求，NTP 服务器会将响应返回给那个伪造的 IP 地址。你可以想象，如果我们伪造受害者的 IP 对大量的NTP服务器发送MONLIST请求，这将形成DOS攻击。显然我们不能容忍这样做，那么如何去发现有多少 NTP 服务器能够发大这种数据？