榜单发布 | WitAwards 2022中国网络安全行业年度评选结果 2022年已经接近尾声。这一年，网络攻击态势依旧严峻，勒索攻击、供应链攻击等事件频发；这一年，网络安全产业迎来新的驱动力，涌现出一大批具有技术实力、产业深度的网安代表企业，也让WitAwards 20... 2022-11-18 19:22:11 | 阅读: 18 | 收藏 | FreeBuf 安全 网络 数据 攻击

autoSSRF：一款基于上下文的智能SSRF漏洞扫描工具 关于autoSSRF autoSSRF是一款功能强大的智能化SSRF漏洞扫描工具，该工具基于上下文识别漏洞，并且适用于大规模扫描任务。跟其他自动化SSRF漏洞扫描工具不同的是，该工具提供了下列功能：... 2022-11-17 12:29:52 | 阅读: 25 | 收藏 | FreeBuf autossrf 信息 ssrf interactsh 漏洞

RomCom 攻击者使用投毒的应用程序攻击乌克兰与英国 被称为 RomCom 的攻击者正在利用 SolarWinds、KeePass 与 PDF Technologies 等公司的软件作为诱饵，开展一系列的攻击行动。研究人员发现攻击者通过虚假软件针对乌克兰... 2022-11-17 12:29:48 | 阅读: 11 | 收藏 | FreeBuf 攻击 romcom keepass 攻击者 受害

极善隐藏的恶意软件，悄悄在亚、非地区泛滥 最近，一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件，它的存在是攻击者感染链中的一个关键环节。捷克网络安全公司Avast表示，PNG（图片格式）文件作为隐藏信息盗窃的有效载... 2022-11-17 12:29:39 | 阅读: 11 | 收藏 | FreeBuf 网络 worok 攻击 clrload

11月的上海CIS 2022，我看到了网安行业大会回暖的信号 万众期待的「CIS 2022网络安全创新大会」终于如期和大家见面，今年的CIS大会以“多维时空”方式展开，分别在上海、深圳（11月23日）、北京（11月30日）与线上“元宇宙”设立分会场。由中国网络安... 2022-11-17 12:28:31 | 阅读: 15 | 收藏 | FreeBuf 安全 网络 无恒 主会场

VuCSA：一款包含大量漏洞的客户端-服务器安全练习平台 关于VuCSA VuCSA，全称为Vulnerable Client-Server Application，即包含安全漏洞的客户端-服务器应用程序，该工具主要为安全学习而设计，广大研究人员可以利用V... 2022-11-16 22:6:55 | 阅读: 13 | 收藏 | FreeBuf vucsa 安全 数据 漏洞

马斯克执掌推特三周后，双因素身份认证出现漏洞 11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主... 2022-11-16 22:6:43 | 阅读: 9 | 收藏 | FreeBuf 安全 马斯克 斯克 漏洞 黑客

活跃四年的挖矿团伙：dhpcd 2018 年 4 月，dhpcd 挖矿团伙首次浮出水面，此后一直处于活跃状态。尽管被揭露，但该团伙仍然不断更新迭代加强潜伏能力。【整体概览】该团伙将文件命名与 Linux 上合法程序相似，例如负责 D... 2022-11-16 22:6:34 | 阅读: 13 | 收藏 | FreeBuf 攻击 攻击者 minexmr ssh dhpcd

速查！安卓系统可能遭遇重大风险，两分钟可轻松破解锁屏 安卓系统可能遭遇了重大安全风险，只要能拿到对方的手机，就有可能轻松破解手机的锁屏密码。一次偶然的机会，国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pix... 2022-11-16 22:6:22 | 阅读: 11 | 收藏 | FreeBuf 安全 漏洞 谷歌 puk schütz

如何使用jscythe并通过Node.js的Inspector机制执行任意JS代码 关于jscythe jscythe是一款功能强大的Node.js环境安全测试工具，在该工具的帮助下，广大研究人员可以利用Node.js所提供的Inspector机制来强制性让基于Node.js/El... 2022-11-15 21:58:53 | 阅读: 9 | 收藏 | FreeBuf jscythe 机制 端口 inspector 信息

逾期不付赎金，高科技公司泰雷兹被Lockbit撕票 Lockbit勒索软件组织近来可谓是动作频频，据SecurityAffairs消息，该组织在前不久攻击全球高科技公司泰雷兹（Thales）后，已开始泄露所窃取的数据。10月31日，泰雷兹被添加进Loc... 2022-11-15 21:58:46 | 阅读: 27 | 收藏 | FreeBuf lockbit 数据 攻击 高科技 赎金

谷歌服软！3.915 亿美金求和解 Bleeping Computer 网站披露，美国密歇根州总检察长办公室周一对外宣布，谷歌将支付 3.915 亿美元，就 40 个州指控其非法追踪用户位置达成和解。从和解协议内容来看，美国总检察长调查... 2022-11-15 21:58:41 | 阅读: 10 | 收藏 | FreeBuf 谷歌 数据 和解 误导 检察长

如何使用Threatest测试端到端威胁检测规则的有效性 关于Threatest Threatest是一个基于Go开发的安全测试框架，该框架可以帮助广大研究人员测试端到端威胁检测规则的有效性与可用性。Threatest允许我们使用各种渗透测试技术对目标进行... 2022-11-14 19:17:18 | 阅读: 18 | 收藏 | FreeBuf datadog threatest security assertions

JWT 原理与设计上的缺陷及利用（基础篇） 基本概念JSON Web Token (JWT)是一个开放标准 ( RFC 7519)，它定义了一种紧凑且自包含的方式，用于在各方之间以JSON对象的形式安全传输信息。此信息可以验证和信任，因为它是数... 2022-11-14 19:17:12 | 阅读: 12 | 收藏 | FreeBuf 数据 信息 burp payload 加密

加密货币交易巨头FTX遭攻击申请破产，6亿美元资产流出 当地时间11月11日，据外媒报道，加密货币交易所FTX在其Telegram频道宣布遭到黑客攻击，加密钱包中被盗资金超过6亿美元。在同一天，FTX向纽约证券交易所申请破产保护。申请破产的包括负责全球交易... 2022-11-14 19:17:3 | 阅读: 11 | 收藏 | FreeBuf ftx 加密 破产 交易所 alameda

喜提热搜，得物APP被曝删除用户相册？ 11 月 12 日，有网友在某平台发布一段视频，视频中该网友声称收到在得物 App 购买的商品后发现货物存在问题，随即拍下视频反馈给得物官方，并上传了一些与商品相关的视频证据到平台。之后发生的事情就非... 2022-11-14 19:16:55 | 阅读: 10 | 收藏 | FreeBuf 信息 货物 误报 vivo 侵害

如何使用Ermir研究Java RMI Registry安全 关于Ermir Ermir是一款功能强大的Java RMI Registry安全研究工具，该工具可以利用那些调用了标准RMI方法的Java代码中的不安全反序列化操作。 工具运行机制 java.rmi... 2022-11-13 09:38:52 | 阅读: 11 | 收藏 | FreeBuf ermir remote github hakivvi

俄罗斯背景的LockBit勒索软件运营商在加拿大被捕 当地时间11月10日，欧洲刑警组织宣布在加拿大安大略省逮捕了一名LockBit勒索软件运营商，该勒索软件与俄罗斯相关，经常针对全球关键基础设施组织和知名公司。在欧洲刑警组织欧洲网络犯罪中心（EC3）、... 2022-11-13 09:38:49 | 阅读: 9 | 收藏 | FreeBuf 勒索 lockbit 刑警 攻击 大略

虚假马斯克账号都能认证？Twitter Blue订阅引发冒牌危机 据Bleeping Computer 11月10日消息，Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用，让这项每月需花费7.99美元的订阅服务... 2022-11-13 09:38:46 | 阅读: 7 | 收藏 | FreeBuf 账号 马斯克 斯克 徽标

2.7 万份文件泄露，乌克兰“IT军团”入侵俄罗斯中央银行 据TheRecord近日公布的消息，乌克兰黑客组织——”IT军团“（IT Army）声称已成功俄罗斯中央银行，窃取了2.7万份内部文件。该组织公开了一个大小为2.6GB的文件包，TheRecord对部... 2022-11-13 09:38:44 | 阅读: 21 | 收藏 | FreeBuf 数据 黑客 安全 网络