各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1、年末购物季将至，一复杂钓鱼工具正针对北美消费者

自 9 月中旬以来，一个复杂的网络钓鱼工具包一直以北美用户为目标，利用劳动节和万圣节等假期，对消费者发动攻击。

2、FBI 通缉 10 年的 JabberZeus 头目“坦克”被瑞士警方逮捕

一名被美国通缉了十年的乌克兰人在 10 月 23日被瑞士当局在日内瓦逮捕，他是网络犯罪团伙JabberZeus成员之一，该团伙使用恶意软件宙斯（Zeus）盗取银行账户中数百万美元。

3、臭名昭著的 Hive 勒索软件，从 1300 多名受害者手中勒索 1 亿美元

美国联邦调查局（FBI）今天表示，自 2021 年 6 月以来，臭名昭著的 Hive 勒索软件团伙已经从一千多家公司成功勒索了大约 1 亿美元。

4、Twitter 源代码表明，端到端加密私信即将到来

Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE)，预计这一功能将很快到来。

5、谷歌将于 2023 年在安卓 13 中引入隐私沙盒

谷歌宣布将从明年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。隐私沙盒旨在创建技术来保护人们的在线隐私，限制秘密跟踪。

1、中美俄首次参与网安演习，明年将面对面对抗

据凤凰网军事频道援引韩联社16日报道称，韩国国防部当天宣布，东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议，中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习，这将是中美俄首次共同参与此类演习。

2、速查！安卓系统可能遭遇重大风险，两分钟可轻松破解锁屏

一次偶然的机会，国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法，任何拿到手机的用户都可以解开手机。

3、马斯克执掌推特三周后，双因素身份认证出现漏洞

11 月 15 日，据 Info Risk Today 报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。

4、谷歌服软！3.915 亿美金求和解

美国密歇根州总检察长办公室周一对外宣布，谷歌将支付 3.915 亿美元，就 40 个州指控其非法追踪用户位置达成和解。

5、逾期不付赎金，高科技公司泰雷兹被 Lockbit 撕票

Lockbit勒索软件组织近来可谓是动作频频，据SecurityAffairs消息，该组织在前不久攻击全球高科技公司泰雷兹（Thales）后，已开始泄露所窃取的数据。

1、APP 漏洞挖掘（一）某下载量超 101 万的 APP 有几个漏洞可以 GetShell？

从开始的迷茫、啥思路也没有，甚至两三天从早挖到晚一点收获都没有，到后面不断看网上的文章、实践总结，借助神器和运气某天能挖到六七个漏洞，晚上做梦都在想挖洞挖洞，睡眠不足白天也精神抖擞的，也算是获得了些APP漏洞挖掘的经验吧。后续勤奋的话可能会陆续输出一些APP漏洞挖掘的实战文章、经验总结文章。

2、序列化与反序列化 | PHP 反序列化漏洞

实际上序列化就是将数据按照更易存储、传输等，改变其原有格式进行保存的一种方式，上面所说的只是最简单的一种序列化方式，实际上还可以在其序列化后的数据中加上对数据的描述控制信息（比如说长度等），方便后期更快的还原出原数据。

3、有趣的黑掉卫星 Hack-A-Sat CTF 比赛——模拟卫星视角 beckley

题目描述得很简略，主办方希望参赛者利用 Google Earth 软件和 KML 文件寻找到设置的 flag。

1、autoSSRF：一款基于上下文的智能 SSRF 漏洞扫描工具

autoSSRF 是一款功能强大的智能化 SSRF 漏洞扫描工具，该工具基于上下文识别漏洞，并且适用于大规模扫描任务。

2、VuCSA：一款包含大量漏洞的客户端-服务器安全练习平台

VuCSA，全称为 Vulnerable Client-Server Application，即包含安全漏洞的客户端-服务器应用程序，该工具主要为安全学习而设计，广大研究人员可以利用 VuCSA 来学习、研究和演示如何对非 HTTP 厚客户端执行安全渗透测试。

3、如何使用 jscythe 并通过 Node.js 的 Inspector 机制执行任意 JS 代码

jscythe 是一款功能强大的 Node.js 环境安全测试工具，在该工具的帮助下，广大研究人员可以利用Node.js 所提供的 Inspector 机制来强制性让基于 Node.js/Electron/v8 实现的进程去执行任意 JavaScript代码。值得一提的是，即使是在目标进程的调试功能被禁用的情况下，jscythe 也能做到这一点。