官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
全球动态
1.亲俄黑客组织对加拿大天然气管道进行了破坏性攻击
亲俄黑客组织Zarya在加拿大天然气管道上引发了网络安全事件,关键基础设施部门处于戒备状态。【外刊-阅读原文】
2.Apache 超集漏洞:不安全的默认配置使服务器暴露在 RCE 攻击之下
Apache Superset 开源数据可视化软件的维护者已经发布了修复程序,以插入可能导致远程代码执行的不安全默认配置。【外刊-阅读原文】
3.浏览器安全调查:87% 的 SaaS 采用者面临浏览器传播的攻击
浏览器充当现代企业中本地环境、云和 Web 之间的主要接口。因此,浏览器还面临多种类型的网络威胁和操作风险。【外刊-阅读原文】
4.Clop,LockBit勒索软件团伙背后的PaperCut服务器攻击
微软将最近对PaperCut服务器的攻击归因于Clop和LockBit勒索软件操作,这些操作利用这些漏洞窃取公司数据。【外刊-阅读原文】
5.乌克兰人因向俄罗斯人出售 300 亿人的数据而被捕
乌克兰网络警察逮捕了一名来自Netishyn市的36岁男子,他出售了超过300亿人,乌克兰公民和欧洲各国的个人数据和敏感信息。【外刊-阅读原文】
6.PrestaShop修复了允许任何后端用户删除数据库的错误
开源电子商务平台PrestaShop发布了一个新版本,该版本解决了严重性漏洞,允许任何后台用户编写,更新或删除SQL数据库,无论其权限如何。【外刊-阅读原文】
安全事件
1.思科在服务器管理工具中披露了XSS零日漏洞
思科今天披露了该公司Prime Collaboration Deployment(PCD)软件中的一个零日漏洞,该漏洞可用于跨站点脚本攻击。【外刊-阅读原文】
2.黑客利用TP-Link N-day漏洞构建Mirai僵尸网络
黑客正试图用Mirai僵尸网络恶意软件感染消费级Wi-Fi路由器型号,此前在12月的黑客竞赛中发现了该设备中的零日漏洞。【外刊-阅读原文】
3.微软调查有关Edge将URL泄露到必应的投诉
在向Microsoft的Edge浏览器中输入任何内容之前,您可能需要三思而后行,因为最近发布的Redmond的Chromium克隆中的一个明显错误似乎是将您访问的URL汇集回Bing API。【外刊-阅读原文】
4.国外开源软件安全治理模式研究及工作建议
本文在分析开源软件安全风险的基础上,对国外开源软件安全治理模式进行研究,对我国开源软件安全治理工作存在的不足展开反思,基于以上研究,就如何更好地保障我国开源软件安全应用提出相关工作建议。【阅读原文】
5.天涯社区完全宕机,曾拖欠海南电信一千万服务器费用
近日,部分网友在社交媒体发文“吐槽”进入天涯社区网站时,页面显示“连网超时”,不仅如此,当尝试登录天涯社区 App,同样无法正常打开。【阅读原文】
6.网络安全领导者引入开源信息共享以帮助OT社区
一群OT网络安全领导者和关键基础设施捍卫者介绍了他们的ETHOS(新兴开放共享)计划,这是一个开源的,与供应商无关的技术平台,用于与同行和政府跨行业共享匿名预警威胁信息。【外刊-阅读原文】
优质文章
1.红队渗透项目之Mr-Robot: 1
该项目是Leon Johnson作者精心制作的项目,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。 【阅读原文】
2.HTTP提权漏洞CVE-2023-23410分析及PoC
2023年3月,HTTP协议被发现存在两个漏洞:本地提权漏洞和远程代码执行漏洞。本文将主要探讨本地提权漏洞CVE-2023-23410的发现和分析过程。【阅读原文】
3.我们用ChatGPT写了一份AI安全报告
ChatGPT越来越火爆了,它是否真如描述那般神乎其神,又能否彻底颠覆学术研究的运行逻辑?为此,FreeBuf咨询在几经研究、尝试与训练后,使用ChatGPT写了一份1.6万字的“AI安全报告”。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。