全球动态
1. 《数据安全技术 数据分类分级规则》发布
摘要:本文件在国家数据安全工作协调机制指导下,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。【阅读原文】
2. 每年750亿美元:API安全漏洞对企业财务的影响
摘要:到 2023 年,平均每个企业网站每年将处理约 15 亿次 API 调用,这凸显了 API 技术作为数字化现代化 "连接组织 "的作用。【外刊-阅读原文】
3. Microsoft 宣布在 Windows 中弃用 1024 位 RSA 密钥
摘要:Microsoft 宣布,Windows 传输层安全 (TLS) 中将很快弃用短于 2048 位的 RSA 密钥,以提供更高的安全性。【阅读原文】
4. 美国航空公司的隐私保护措施将接受 DOT 审查
摘要:审查将调查航空公司如何收集、处理、维护和使用乘客敏感个人数据,以便了解并有可能对这些程序进行监管。【外刊-阅读原文】
5. 美国网络安全公司发布人工智能红队恶意用例评估报告
摘要:根据当前工具的可用性以及这4项实验的结果,Recorded Future评估认为,2024年的人工智能的恶意使用很可能来自有针对性的深度造假和影响力行动。【阅读原文】
6. Synopsys 批准出售价值5.25亿美元的应用安全部门
摘要:Synopsys 的董事会于周三签署协议,同意出售公司价值5.25亿美元的应用安全测试业务,以专注于设计自动化和知识产权(IP)领域。【外刊-阅读原文】
安全事件
1. 白宫警告:美国关键供水系统正在遭受“致命网络攻击”
摘要:拜登政府19日向美国各州州长发出警告,指出他们所管理的饮用水和污水设施正面临来自敌对国家的“致命网络攻击”威胁,这些攻击的目标是关键的工厂运营。【阅读原文】
2. 俄罗斯黑客利用TinyTurla-NG侵入欧洲非政府组织的系统
摘要: Turla使用Chisel工具打开了更多的通信渠道,以便进行数据外泄,并向网络中其他可达系统进行横向移动。【外刊-阅读原文】
3. 以色列核设施的数千份秘密文件被泄露到公共领域
摘要:黑客声称他们能够获取并发布数千份与以色列核计划相关的文件,包括 PDF、电子邮件和 PowerPoint 演示文稿。【阅读原文】
4. 新型Loop DOS攻击可能针对30万个脆弱主机
摘要:该攻击通过配对使用UDP协议的服务器,并利用IP伪造技术,诱导它们进入一个无限循环的通信状态。【外刊-阅读原文】
5. 影响全球 300 万间酒店客房,dormakaba 门锁被曝高危安全漏洞
摘要:专家表示该漏洞存在于多玛凯拔的 Saflok MT 系列、Quantum 系列、RT 系列、Saffire 系列、Confidant 系列和所有其它 Saflok 品牌的锁产品。【阅读原文】
6. Sign1 恶意软件感染了9 万个 WordPress 网站
摘要:在对 Sign1 恶意软件详细分析后,Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL,每 10 分钟就会更新一次,以躲避安全拦截。【外刊-阅读原文】
优质文章
1. 企业安全测试 | 云网OA代码审计
按官方方法搭建启动的时候会报XXX重复这种错误,此时可以按Ctrl+Alt+Shift+S调出项目配置,然后在模块处删除重复的内容。【阅读原文】
2. RSF、JSONP劫持、CORS配置不当中的cookie跨域问题
CSRF使用get和input进行跨域,当使用get进行跨域时,除了SameSite=strick的情况,都可以携带cookie。【阅读原文】
3. 对大型语言模型的安全性能进行基准测试,谁更胜一筹?
除了与ChatGPT等平台相关的生成式文本任务外,LLM还被证实在许多文本处理应用程序中具有实用价值,可以协助编写代码以及对内容进行分类。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022