来自 防护 2021-10-11 14:21 的文章

cdn防护_烈火神盾游戏_精准

cdn防护_烈火神盾游戏_精准

保护我们的孩子免受网络上的危险是所有家长都在努力和奋斗的事情。当你发现一个你认为是安全的玩具,并且可以教育和娱乐你的孩子,ddos防御盾,基于web的ddos攻击与防御,你就买它。正确的?这就是为什么父母购买并继续购买LeapFrog的LeapPad Ultimate。Checkmarx安全研究小组最近考虑了网络攻击者如何攻击这种类型的设备。虽然它被设计为整体安全,但我们的研究人员发现了多个令人担忧的安全漏洞。这类研究活动是我们持续努力的一部分,旨在推动基于消费者的物联网设备制造商之间软件安全实践的必要变革,同时在使用这些设备的消费者中带来更多的安全意识。保护消费者,特别是儿童的隐私,必须是我们所有人在当今日益紧密联系的世界中的首要任务。在本博客的结尾和我们的技术报告中,我们分享了我们是如何向Leapprog企业披露这些信息的,以及公司为弥补这些漏洞所采取的快速行动。蛙跳表现出的严肃性和他们闪电般的快速反应,值得称赞。LeapFrog的LeapPad Ultimate Ready for School平板电脑LeapPad Ultimate为家长提供了一个无忧的选择,让他们的孩子可以使用提供游戏、视频、电子书和其他入学准备应用程序的平板电脑。与成人只需几步之遥,你就可以让你3到6岁的孩子探索各种有趣的应用程序。当然,他们可以用自己的名字来个性化他们的用户帐户,甚至可以是自拍。LeapPad Ultimate平板电脑坚固耐用,不需要Wi-Fi,让孩子们在候车室或长途汽车旅行中轻松娱乐。最重要的是,LeapFrog的学习技术让孩子们保持挑战和投入,同时保护他们远离互联网。Kindle或iPad当然提供了大量的应用程序,甚至还有一些访问限制,但一般来说,它们并不能像许多家长希望的那样为孩子提供与互联网的隔离。然而,在测试了LeapPad Ultimate平板电脑之后,我们的研究团队发现了一些严重的问题。使用宠物聊天应用程序查找LeapPads的位置宠物聊天是LeapPad Ultimate上的一个应用程序,它允许两个或更多的用户在聊天室里互相交谈,使用他们自己的宠物头像和一些预设的短语和表情符号。用户之间甚至不能交流,除非通过预设的短语。看起来很安全,对吧?现在,让我们来看看威格尔。WiGLE是一个收集全球不同无线热点信息的网站。它整合了全球无线网络的位置和信息,并将其放入一个中央数据库中。使用WiGLE,很容易找到使用Pet Chat应用程序的孩子的位置,因为Pet Chat创建了一个wifi即席连接,可以使用SSID:PetChat向附近的其他兼容设备广播。任何人都可以通过宠物聊天在公共Wi-Fi上找到LeapPads或跟踪其设备的MAC地址来识别LeapPads的可能位置。下面是一个在英国伦敦使用WiGLE定位宠物聊天用户的例子。WiGLE显示映射、MAC地址以及上次扫描设备的时间。攻击者可以检查儿童使用宠物聊天的孤立家庭,防御ddos产品,并尝试发起更多的攻击,我们在这篇博客文章中描述。出去玩吧我们发现宠物聊天协议不需要在父母的设备和孩子的设备之间进行任何身份验证。这意味着,任何一个运行宠物聊天的蛙跳设备100英尺范围内的旁观者都可以向儿童设备发送消息。很容易理解这种活动的潜在影响。以下是宠物聊天中预设短语的示例:易受中间人攻击WiFi Pumpking是一个流氓接入点框架,允许攻击者欺骗现有的Wi-Fi网络,同时迫使连接在原始网络上的设备切换到新创建的恶意网络。使用WiFi Pumpking,我们惊讶地发现LeapPad的传出流量不是使用HTTPS加密的,而是使用明文HTTP协议,使其容易受到中间人攻击。我们从连接到恶意WiFi南瓜网络的LeapPad上观察到的流量很容易包含敏感数据,包括:信用卡信息:信用卡品牌(Visa、MasterCard等)、卡上姓名、信用卡号-缺少6位数字、有效期、帐单地址和电话号码家长信息:电子邮件、姓名、帐户余额和地址孩子信息:姓名、性别、出生年份和出生月份易受LeapSearch门户网站钓鱼攻击LeapFrog包含一个名为LeapSearch的应用程序,这是一种"儿童安全的网络浏览器,提供对安全网络内容的访问"。利用前面描述的中间人技术,我们还可以修改"安全web"应用程序的内容。通过注入前一步检索到的真实数据片段,我们创建了一个"网络钓鱼版"的LeapSearch门户网站,这似乎是合法的。然后我们操纵了这个伪造的门户网站,让它要求用户提供额外的敏感信息,比如填写档案中信用卡缺失的6位数字。在这里观看概念证明:LeapFrog很快解决了这些问题我们在这项研究中发现的漏洞可能会给家长们带来令人担忧的情况,即他们的孩子们使用LeapPad。为了保护儿童,蛙跳确实采取了一些措施来保护这些药片。但是,只有少数几个漏洞可以合并在一起,防御ddos攻击s高防评价,从而产生一些非常有害的攻击结果。作为我们研究的结果,LeapFrog回应了我们的报告,并确认他们在确认我们的发现后不久就发布了修复程序,并将宠物聊天从商店中完全删除。披露时间表2018年12月29日:向LeapFrog发送完整报告。2019年1月18日:与LeapFrog的工程师和产品经理召开电话会议,询问更多细节,以便更好地再现问题。2019年1月21日:发送了一份详细的指南,以重现问题。2019年2月1日:蛙跳报告发布了第一波修复程序。2019年4月21日:LeapFrog报告说,宠物聊天中可能会有麻烦的短语被删除。2019年6月27日:LeapFrog确认将宠物聊天应用程序从商店中删除。向LeapPad所有者推荐Checkmarx三年以上的LeapPad设备可能仍然安装了宠物聊天。Checkmarx建议家长手动卸载或避免使用该应用程序。蛙跳与契克马克思的通信LeapFrog还分享了LeapFrog Enterprises数字产品管理副总裁Mari Sanderland的以下评论:"我们感谢Checkmarx让我们注意到这些安全问题,因为使用我们产品的儿童的安全是重中之重。有了他们提供的信息,我们能够立即采取行动解决问题。切克马克思一直乐于助人、合乎道德和专业,与他们合作使LeapFrog和我们的客户受益匪浅。"马克思研究团队的使命发现上面提到的这些漏洞是Checkmarx进行研究的原因。Checkmarx致力于帮助组织构建更安全的软件。我们的软件安全平台帮助开发人员和安全团队发现并修复他们开发的软件中的漏洞。此外,防火墙防御ddos,我们还提供解决方案,培训组织的开发人员,让他们越来越意识到代码中可能导致成功网络攻击的软件漏洞。我们有责任在我们交付的所有产品中构建软件安全性。请在这里阅读完整的报告。Checkmarx安全研究团队Iotman in the Middle移动应用程序安全漏洞易受攻击的应用程序易受攻击的IoT对象生物最新帖子大卫·索帕斯AppSec研究团队负责人大卫•索帕斯是Checkmarx的AppSec研究小组组长,Char49的联合创始人。谷歌,雅虎!易趣、微软、美国国防部和其他许多公司和组织都对他的工作表示了感谢。作为一名前兼职赏金猎人,他仍然是Cobalt的前5名和HackerOne的前100名。如今,大卫喜欢破坏物联网设备并尽可能多地侵入他的生活。大卫·索帕斯的最新帖子2019年2月12日,您的联想手表X正在关注您并分享其所学知识你的智能秤泄漏的比你的体重还多:物联网中的隐私问题-2019年2月4日滤光、滤光、滤光、智能滤光?-2018年11月21日