各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美用户为目标,利用劳动节和万圣节等假期,对消费者发动攻击。
一名被美国通缉了十年的乌克兰人在 10 月 23日被瑞士当局在日内瓦逮捕,他是网络犯罪团伙JabberZeus成员之一,该团伙使用恶意软件宙斯(Zeus)盗取银行账户中数百万美元。
美国联邦调查局(FBI)今天表示,自 2021 年 6 月以来,臭名昭著的 Hive 勒索软件团伙已经从一千多家公司成功勒索了大约 1 亿美元。
Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。
谷歌宣布将从明年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。隐私沙盒旨在创建技术来保护人们的在线隐私,限制秘密跟踪。
据凤凰网军事频道援引韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。
一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。
11 月 15 日,据 Info Risk Today 报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。
美国密歇根州总检察长办公室周一对外宣布,谷歌将支付 3.915 亿美元,就 40 个州指控其非法追踪用户位置达成和解。
Lockbit勒索软件组织近来可谓是动作频频,据SecurityAffairs消息,该组织在前不久攻击全球高科技公司泰雷兹(Thales)后,已开始泄露所窃取的数据。
从开始的迷茫、啥思路也没有,甚至两三天从早挖到晚一点收获都没有,到后面不断看网上的文章、实践总结,借助神器和运气某天能挖到六七个漏洞,晚上做梦都在想挖洞挖洞,睡眠不足白天也精神抖擞的,也算是获得了些APP漏洞挖掘的经验吧。后续勤奋的话可能会陆续输出一些APP漏洞挖掘的实战文章、经验总结文章。
实际上序列化就是将数据按照更易存储、传输等,改变其原有格式进行保存的一种方式,上面所说的只是最简单的一种序列化方式,实际上还可以在其序列化后的数据中加上对数据的描述控制信息(比如说长度等),方便后期更快的还原出原数据。
题目描述得很简略,主办方希望参赛者利用 Google Earth 软件和 KML 文件寻找到设置的 flag。
autoSSRF 是一款功能强大的智能化 SSRF 漏洞扫描工具,该工具基于上下文识别漏洞,并且适用于大规模扫描任务。
VuCSA,全称为 Vulnerable Client-Server Application,即包含安全漏洞的客户端-服务器应用程序,该工具主要为安全学习而设计,广大研究人员可以利用 VuCSA 来学习、研究和演示如何对非 HTTP 厚客户端执行安全渗透测试。
jscythe 是一款功能强大的 Node.js 环境安全测试工具,在该工具的帮助下,广大研究人员可以利用Node.js 所提供的 Inspector 机制来强制性让基于 Node.js/Electron/v8 实现的进程去执行任意 JavaScript代码。值得一提的是,即使是在目标进程的调试功能被禁用的情况下,jscythe 也能做到这一点。