各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
德国内政部长解雇了网络安全负责人Arne Schönbohm,他面临通过行业协会德国网络安全委员会与俄罗斯安全服务机构有联系的指控。
根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告( 2022 年第 13 号),全国信息安全标准化技术委员会归口的 14 项国家标准正式发布。
巴西联邦警察在巴伊亚州费拉桑塔纳逮捕了一名巴西嫌疑人,据信是 Lapsus$ 黑客团伙的成员。
法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙,该团伙利用一种欺诈性软件,在不使用物理钥匙的情况下盗窃车辆。此次行动共逮捕包括软件开发者、转售商、汽车盗贼在内的31名犯罪嫌疑人。
新的研究揭示了Microsoft 365中所谓的安全漏洞,由于使用了损坏的加密算法,该漏洞可能被利用来推断邮件内容。
10月19日,微软表示部分客户的敏感信息可能因配置错误的微软服务器而存泄露风险。威胁情报公司 SOCRadar分析,受影响的数据达2.4TB,涉及来自 111 个国家和地区的 65000 多个实体。
据Security affairs等网站消息,澳大利亚零售巨头Woolworths 批露了近期旗下子公司MyDeal一起影响 220 万用户的数据泄露事件,攻击者已在黑客论坛上发帖出售被盗数据。
保加利亚政府机构的基础设施遭到大规模 DDoS 攻击,包括内务部、国防部、司法部、宪法法院等多个政府部门受到严重影响。
10月17日,一位自称对此次攻击负责的黑客,称要归还部分被盗资金,约6700万美元,余下的金额则当作名义上的漏洞赏金。
西门子Simatic可编程逻辑控制器(PLC)的一个漏洞可被利用,以检索硬编码的全球私人加密密钥并夺取设备的控制权。
几十年来,攻击方、白帽和安全从业者的工具不断演进,成为网络安全长河中最具技术特色的灯塔,并在一定程度上左右着网络安全产业发展和演进的方向,成为不可或缺的关键要素之一。本文列举了2022年全球白帽常用工具排行榜TOP10,盘点其各自的特性。
微信聊天作为日常亲友沟通,工作交流的主要方式之一,在用户的潜意识中,往往不会对微信好友时刻保持警惕性,这就给了微信钓鱼攻击者可乘之机。本文抛砖引玉提出攻击防护思路,各企业人员可根据自家环境情况进行适配和调整。
本文针对国内以及国外知名Android逆向工程工具进行横向评测。本次测试对比是为了呈现incinerator与PNFSofteware出品的JEB以及国内出品GDA在Android逆向工程能力的对比,从而让大家更好更直观的了解相关的详细信息。
SharpNamedPipePTH是一款基于C#开发的安全工具,该工具可以利用哈希传递技术(Pass-the-Hash)在本地命名管道上进行身份认证,并实现用户令牌模拟。需要注意的是,该工具需要本地管理员权限或SEImpersonate权限。
DeadFinder是一款功能强大的链接分析工具,该工具可以帮助广大研究人员快速地寻找目标页面中的无效链接(死链)。所谓死链,即一个页面中存在的无法被连接的一条链接。这些链接如果一直保留在页面中的话,可能会影响SEO的效果,更严重的可能会影响整个网站的安全。因此,DeadFinder便应运而生,在该工具的帮助下,广大研究人员可以轻松识别和修改这些死链。
SpyCast是一款功能强大的跨平台mDNS枚举工具,该工具支持在主动模式下下递归查询服务,也可以在被动模式下仅侦听多播数据包。因此,广大研究人员可以使用该工具测试mDNS协议和本地网络的安全性。
精彩推荐