各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
热点资讯
1、年末购物季将至,一复杂钓鱼工具正针对北美消费者
自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美用户为目标,利用劳动节和万圣节等假期,对消费者发动攻击。
2、FBI 通缉 10 年的 JabberZeus 头目“坦克”被瑞士警方逮捕
一名被美国通缉了十年的乌克兰人在 10 月 23日被瑞士当局在日内瓦逮捕,他是网络犯罪团伙JabberZeus成员之一,该团伙使用恶意软件宙斯(Zeus)盗取银行账户中数百万美元。
3、臭名昭著的 Hive 勒索软件,从 1300 多名受害者手中勒索 1 亿美元
美国联邦调查局(FBI)今天表示,自 2021 年 6 月以来,臭名昭著的 Hive 勒索软件团伙已经从一千多家公司成功勒索了大约 1 亿美元。
4、Twitter 源代码表明,端到端加密私信即将到来
Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。
5、谷歌将于 2023 年在安卓 13 中引入隐私沙盒
谷歌宣布将从明年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。隐私沙盒旨在创建技术来保护人们的在线隐私,限制秘密跟踪。
安全事件
1、中美俄首次参与网安演习,明年将面对面对抗
据凤凰网军事频道援引韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。
2、速查!安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏
一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。
3、马斯克执掌推特三周后,双因素身份认证出现漏洞
11 月 15 日,据 Info Risk Today 报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。
4、谷歌服软!3.915 亿美金求和解
美国密歇根州总检察长办公室周一对外宣布,谷歌将支付 3.915 亿美元,就 40 个州指控其非法追踪用户位置达成和解。
5、逾期不付赎金,高科技公司泰雷兹被 Lockbit 撕票
Lockbit勒索软件组织近来可谓是动作频频,据SecurityAffairs消息,该组织在前不久攻击全球高科技公司泰雷兹(Thales)后,已开始泄露所窃取的数据。
一周好文共读
1、APP 漏洞挖掘(一)某下载量超 101 万的 APP 有几个漏洞可以 GetShell?
从开始的迷茫、啥思路也没有,甚至两三天从早挖到晚一点收获都没有,到后面不断看网上的文章、实践总结,借助神器和运气某天能挖到六七个漏洞,晚上做梦都在想挖洞挖洞,睡眠不足白天也精神抖擞的,也算是获得了些APP漏洞挖掘的经验吧。后续勤奋的话可能会陆续输出一些APP漏洞挖掘的实战文章、经验总结文章。
2、序列化与反序列化 | PHP 反序列化漏洞
实际上序列化就是将数据按照更易存储、传输等,改变其原有格式进行保存的一种方式,上面所说的只是最简单的一种序列化方式,实际上还可以在其序列化后的数据中加上对数据的描述控制信息(比如说长度等),方便后期更快的还原出原数据。
3、有趣的黑掉卫星 Hack-A-Sat CTF 比赛——模拟卫星视角 beckley
题目描述得很简略,主办方希望参赛者利用 Google Earth 软件和 KML 文件寻找到设置的 flag。
省心工具
1、autoSSRF:一款基于上下文的智能 SSRF 漏洞扫描工具
autoSSRF 是一款功能强大的智能化 SSRF 漏洞扫描工具,该工具基于上下文识别漏洞,并且适用于大规模扫描任务。
2、VuCSA:一款包含大量漏洞的客户端-服务器安全练习平台
VuCSA,全称为 Vulnerable Client-Server Application,即包含安全漏洞的客户端-服务器应用程序,该工具主要为安全学习而设计,广大研究人员可以利用 VuCSA 来学习、研究和演示如何对非 HTTP 厚客户端执行安全渗透测试。
3、如何使用 jscythe 并通过 Node.js 的 Inspector 机制执行任意 JS 代码
jscythe 是一款功能强大的 Node.js 环境安全测试工具,在该工具的帮助下,广大研究人员可以利用Node.js 所提供的 Inspector 机制来强制性让基于 Node.js/Electron/v8 实现的进程去执行任意 JavaScript代码。值得一提的是,即使是在目标进程的调试功能被禁用的情况下,jscythe 也能做到这一点。
精彩推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...