全球动态

1. 新型 UEFI rootkit 恶意软件 BlackLotus 曝光

最近引发广泛讨论的“BlackLotus”，属于一款相当全能的固件级 rootkit 恶意软件。特点是能够躲过各种删除操作，以及绕过先进的 Windows 防护措施。【阅读原文】

2. Ring 摄像头被指用来控制和监视过度劳累的送货员工

根据数据与社会(Data & Society)技术研究机构最近的一份报告，像亚马逊的 Ring 这样的网络门铃监控摄像头随处可见，并且通过让客户扮演老板的角色来监督、控制和管教员工来改变快递工作的性质。【阅读原文】

3. 美国网络司令部执行新的全球网络空间防御行动

美国网络司令部近日实施了一项新的防御性网络空间行动。全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。【阅读原文】

4. 因配置错误，微软可能已泄露大量客户敏感数据

Bleeping Computer 10 月 19 日消息，微软在当天表示，部分客户的敏感信息可能因配置错误的微软服务器而存泄露风险。【外刊-阅读原文】

5. 《汽车数据处理安全要求》等 14 项网络安全国家标准获批发布

根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（ 2022 年第 13 号），全国信息安全标准化技术委员会归口的 14 项国家标准正式发布。【阅读原文】

6. IDC：2023 年全球IT行业十大预测

国际数据公司 IDC 公布了其 2023 年及以后全球信息技术（IT）行业预测。这些预测的具体内容发布在全新的 IDC FutureScape 报告中。【阅读原文】

安全事件

1. 亚马逊因滥用算法在英国面临集体诉讼：隐藏更优惠的交易来增加自家产品曝光率

国外媒体报道，亚马逊在英国面临集体诉讼，被指控使用“秘密”算法滥用其在在线市场的主导地位。【阅读原文】

2. 国家漏洞库 CNNVD：关于 Oracle 多个安全漏洞的通报

Oracle 官方发布了多个安全漏洞的公告，其中 Oracle 产品本身漏洞 85 个，影响到 Oracle 产品的其他厂商漏洞 221 个。【阅读原文】

3. IDC：2022 上半年中国网络安全服务市场规模达 12.3 亿美元

IDC《2022 上半年中国IT安全服务市场跟踪报告》显示，2022 上半年中国 IT 安全服务市场厂商整体收入约为 12.25 亿美元（约合 79.4 亿元人民币），厂商收入规模较去年同期实现平稳增长，涨幅 11%。【阅读原文】

4. 专家发现数百万个.git文件夹公开

Cybernews 的研究人员在最常见的 web 服务端口 80 和 443 上发现了 1931148 个 IP 地址，这些 IP 地址具有可供公众访问的.git文件夹结构。【外刊-阅读原文】

5. 黑客组织更新 Furball Android 间谍软件以逃避检测

黑客组织APT-C-50开展的移动监控活动中，发现了针对伊朗公民的新版“FurBall”安卓间谍软件。【外刊-阅读原文】

6. 巴西逮捕了被认为是 Lapsus$ 团伙成员的嫌疑人

巴西联邦警察在巴伊亚州费拉桑塔纳逮捕了一名巴西嫌疑人，据信是 Lapsus$ 黑客团伙的成员。【外刊-阅读原文】

优质文章

1. 实战打靶之Noter

靶机主要是从信息收集开始，发现是flask搭建的，然后使用flask unsign进行解密，暴力破解。【阅读原文】

2. thymeleaf模板注入学习与研究--查找与防御

本文分享了thymeleaf模板注入学习与研究--查找与防御方面的思考。【阅读原文】

3. Weblogic CVE之旅之T3协议浅学习

这篇文章主要是学习Weblogic CVE漏洞中的过程中，对其中的一种利用方式T3协议反序列化漏洞进行分析。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。