FreeBuf周报 | 二十大之网络安全听听代表怎么说；超市巨头麦德龙遭网络攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1、《网络安全行业投资新风向洞察报告》重磅发布

截至 2021 年底，我国出台共计 200 多部网络安全相关法规与政策性文件。在政策与市场需求的持续助推下，中国网络安全产业在近年吸引了大量投资主体参与布局。

2、二十大之网络安全，听听代表们怎么说

网络安全作为网络强国、数字中国的底座，将在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。

3、提高警惕！有人在GitHub上利用虚假 PoC 漏洞钓鱼

莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库，这些存储库为各种漏洞提供虚假的概念验证（PoC），并借此隐藏传播恶意软件。

4、被索要6000万，这家汽车经销商坚持拒绝支付！

英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击，部分数据被窃取，并收到了高达6000万美元的赎金支付通知。

5、一个隐藏在SQLite数据库长达22年的漏洞

安全专家Andreas Kellas详细介绍了2000年10月推出的SQLite数据库中的一个高严重性漏洞，被追踪为CVE-2022-35737（CVSS评分：7.5）。

1、超市巨头麦德龙遭网络攻击，支付系统中断

德国零售批发超市集团麦德龙（Metro）被证实遭遇网络攻击，其部分基础设施中断，线下门店支付系统和线上订单出现延迟。

2、Hive勒索组织宣称已攻击塔塔电力，数据可能外泄

前不久印度最大的电力集团塔塔电力公布遭遇网络攻击。10月25日，Hive勒索组织宣称对此次网络攻击负责。

3、苹果曝严重漏洞，可窃听用户与Siri对话

据The Hacker News 10月27日消息，在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。

4、数据泄露长达两年半！国际票务巨头See Tickets 已承认

据BleepingComputer 10月25日消息，国际票务服务公司 See Tickets 披露了一起数据泄露事件，时间长达两年半。

5、超2000万的安装量，Google Play已成恶意广告程序的温床

McAfee的安全研究人员发现，GooglePlay官方商店里有16个恶意点击的应用程序，安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次。

1、萌新学习零信任

在内网环境复杂化的今天，我们国家整体的内网安全建设水平（懂得都懂）处于一个正在发展的水平，而零信任不亚于一针"强心剂"有力的支撑了未来我国内网安全体系的发展。并且随着信息化建设的不断深入,内网安全问题层出不穷。面对日益繁多的网络攻击,传统网络防护手段越来越难以支撑。

2、Java代码审计-XMI注入（XXE）

使用不可信数据来构造XML会导致XML注入漏洞也成称为XXE漏洞。一个用户，如果他被允许输入结构化的XML片段，且输入的片段未做任何防御措施，则他可以在XML的数据域中注入XML标签来改写目标XML文档的结构与内容。XML解析器会对注入的标签进行识别和解释。

3、年仅 16 岁，入侵微软等 18 家跨国巨头，LAPSUS$  黑客组织“狠疯狂”

2021 年年末，黑客世界横空杀出一只队伍，入侵巴西卫生部成功”出道”，此后短短四个月内，疯狂开展网络攻击活动，英伟达、三星、沃达丰，育碧、微软等十八家行业巨头相继沦陷。

1、FUD-UUID-Shellcode：一款基于C++的Shellcode注入工具

FUD-UUID-Shellcode是一款功能强大的Shellcode注入工具，该工具基于C++语言开发，并使用了异或XOR加密技术UUID字符串混淆来尝试绕过Windows Defender。广大研究人员可以使用该工具测试目标系统的安全性，或研究Windows Defender相关的安全问题。

2、SteaLinG：一款针对社工的开源安全渗透测试框架

SteaLinG是一款功能强大的开源渗透测试框架，该框架专为社会工程学研究人员设计，可以帮助广大研究人员或组织内的安全专家测试目标设备的安全性。该工具基于Python开发，因此具备良好的跨平台特性。在使用时，我们只需要将其上传至目标用户设备并运行SteaLinG即可。

3、如何使用Arsenal快速部署功能强大的Bug Bounty工具

Arsenal是一个功能强大且使用简单的Shell脚本（Bash），该工具专为漏洞赏金猎人设计，在该工具的帮助下，我们可以轻松在自己环境中安装并部署目前社区中功能最为强大的网络侦查工具、漏洞扫描工具和其他安全研究工具。与此同时，该工具还可以完成相关依赖组件的自动化安装，并将所有安全工具存储在本地设备上。