- 資訊安全:
1.一个完美的Bug(CVE-2015-3077):利用Flash中类型混淆 by Freebuf
Cve-2015-3077是一种发生在Adobe Flash Button和MovieClip的fliters(是一个包含filter对象的索引数组[1])属性的setters方法的类型混淆问题,使得任意类型的filter都可以用其它类型的filter来混淆。
该缺陷在五月份上报给了Adobe,并在五月得到了修复。该bug的根源在于,攻击者可以覆盖初始化filter对象的构造函数。
2.安卓系统Google Admin应用曝0day漏洞,可绕过沙箱 by Freebuf
MWR实验室的研究人员发现一个0day漏洞,该漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中,通过该漏洞攻击者可以绕过安卓沙箱机制。
当谷歌Admin应用接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,此时就会出现一个问题。此时,Admin应用程序会将这个URL加载到它活动内的Webview中。如果攻击者使用一个file:// URL链接到他们所控制的文件,那么将可以使用符号链接绕过同源策略,并能够接收到谷歌Admin沙箱中的数据。
谷歌的Admin应用程序(com.google.android.apps.enterprise.cpanel)拥有一个出口活动,该活动接受一个名为setup_url的额外字符串。
安卓设备上的任何应用通过创建一个新的intent就能触发该漏洞,只要该intent中数据指向了http://localhost/foo,并且setup_url字符串指向一个能够写入的文件url,例如file://data/data/com.themalicious.app/worldreadablefile.html。然后,ResetPinActivity会以谷歌Admin应用的权限将其加载到Webview中。
3.企业安全实践经验分享 by WooYun
我们需要三大类的团队才能开展救火以后的真正安全建设,个人从攻击类,管理类,业务类将安全人员分为三大块 。第一块监控响应与内外部产品安全,第二块信息安全与管理培训,第三块业务安全与风控。本身三块的需求度也是与企业的发展密切相关。不断的深化安全在企业中的层级。
当前这三块职能大致包含:安全审计,安全管理,安全培训,运维安全,Web安全,App安全,产品需求安全,安全产品,日志监控平台,应急响应,Src建设,业务安全,风控策略,风控运营等。
Cve-2015-3077是一种发生在Adobe Flash Button和MovieClip的fliters(是一个包含filter对象的索引数组[1])属性的setters方法的类型混淆问题,使得任意类型的filter都可以用其它类型的filter来混淆。
该缺陷在五月份上报给了Adobe,并在五月得到了修复。该bug的根源在于,攻击者可以覆盖初始化filter对象的构造函数。
2.安卓系统Google Admin应用曝0day漏洞,可绕过沙箱 by Freebuf
MWR实验室的研究人员发现一个0day漏洞,该漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中,通过该漏洞攻击者可以绕过安卓沙箱机制。
当谷歌Admin应用接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,此时就会出现一个问题。此时,Admin应用程序会将这个URL加载到它活动内的Webview中。如果攻击者使用一个file:// URL链接到他们所控制的文件,那么将可以使用符号链接绕过同源策略,并能够接收到谷歌Admin沙箱中的数据。
谷歌的Admin应用程序(com.google.android.apps.enterprise.cpanel)拥有一个出口活动,该活动接受一个名为setup_url的额外字符串。
安卓设备上的任何应用通过创建一个新的intent就能触发该漏洞,只要该intent中数据指向了http://localhost/foo,并且setup_url字符串指向一个能够写入的文件url,例如file://data/data/com.themalicious.app/worldreadablefile.html。然后,ResetPinActivity会以谷歌Admin应用的权限将其加载到Webview中。
3.企业安全实践经验分享 by WooYun
我们需要三大类的团队才能开展救火以后的真正安全建设,个人从攻击类,管理类,业务类将安全人员分为三大块 。第一块监控响应与内外部产品安全,第二块信息安全与管理培训,第三块业务安全与风控。本身三块的需求度也是与企业的发展密切相关。不断的深化安全在企业中的层级。
当前这三块职能大致包含:安全审计,安全管理,安全培训,运维安全,Web安全,App安全,产品需求安全,安全产品,日志监控平台,应急响应,Src建设,业务安全,风控策略,风控运营等。
- 自我成長:
1.哈佛商学院私人笔记:如何一天拥有48小时? by 戴丽丹
时间管理的四大原则:
(1)效率
(2)优先级
(3)提前计划
(4)成就感
2.要員工邊做邊學,等於浪費潛力!給企業的育才教科書 by 郭子苓
根據研究,組織內的積極學習者占全數的10%;這些人在任何環境中都能不斷主動學習,激勵自我成長;但組織中更多的是需要目的驅使的被動學習者(60%)和拒絕學習者(30%)。這項結果明確指出OJT僅適用於少數積極學習者的缺陷;人才培育計畫亟需更縝密、全面的設計考量。
第一步:選對的人(具備識人力、社交力、反省力),集中資源培養
第二步:用對的方法,因材施教
公司對於尋求的目標人才,應該具備清晰的圖像,並盡量將其具象化、言語化,讓員工清楚了解公司想要的是具備哪些能力的人才,得以自我鍛鍊、學習。當這些準備工作完成,再展開培育計畫。
人才育成精神,必須扎根於企業文化,自各方面鼓勵員工再學習、再提升;因此,首先必須在公司內創造樂於學習的風氣。
3.如何用新模式识别和培养领导人才? by 常亮
“轮岗培养模式”指的是通过岗位轮换,帮助有领导潜质的人才“从干中学”和快速成长,通过岗位锻炼、领导反馈、自我修炼和重复实践来提升其领导力。
这种模式为每一位有领导潜质的人才提供量身定制的培养路径,明确每个岗位给他带来的价值,并且确保他掌握必备的领导技能之后,才让他迈向下一个新的领导岗位。
“轮岗培养模式”赋予基层领导者巨大的责任,他们的重要职责之一就是发现和培养未来的领导者,这和他们负责的战略、财务、营销等工作一样重要。但是,培养领导者不仅仅是他们的工作,而且是全公司的“重中之重”。全公司都要为他们创造机会,提供历练他们的岗位,提出恰当的建议,铲除影响他们成长的障碍。
时间管理的四大原则:
(1)效率
(2)优先级
(3)提前计划
(4)成就感
2.要員工邊做邊學,等於浪費潛力!給企業的育才教科書 by 郭子苓
根據研究,組織內的積極學習者占全數的10%;這些人在任何環境中都能不斷主動學習,激勵自我成長;但組織中更多的是需要目的驅使的被動學習者(60%)和拒絕學習者(30%)。這項結果明確指出OJT僅適用於少數積極學習者的缺陷;人才培育計畫亟需更縝密、全面的設計考量。
第一步:選對的人(具備識人力、社交力、反省力),集中資源培養
第二步:用對的方法,因材施教
公司對於尋求的目標人才,應該具備清晰的圖像,並盡量將其具象化、言語化,讓員工清楚了解公司想要的是具備哪些能力的人才,得以自我鍛鍊、學習。當這些準備工作完成,再展開培育計畫。
人才育成精神,必須扎根於企業文化,自各方面鼓勵員工再學習、再提升;因此,首先必須在公司內創造樂於學習的風氣。
3.如何用新模式识别和培养领导人才? by 常亮
“轮岗培养模式”指的是通过岗位轮换,帮助有领导潜质的人才“从干中学”和快速成长,通过岗位锻炼、领导反馈、自我修炼和重复实践来提升其领导力。
这种模式为每一位有领导潜质的人才提供量身定制的培养路径,明确每个岗位给他带来的价值,并且确保他掌握必备的领导技能之后,才让他迈向下一个新的领导岗位。
“轮岗培养模式”赋予基层领导者巨大的责任,他们的重要职责之一就是发现和培养未来的领导者,这和他们负责的战略、财务、营销等工作一样重要。但是,培养领导者不仅仅是他们的工作,而且是全公司的“重中之重”。全公司都要为他们创造机会,提供历练他们的岗位,提出恰当的建议,铲除影响他们成长的障碍。
如欲閱讀更多文章摘要,請見 每日晨摘