各位FreeBufer周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点!
1、国家信息安全漏洞共享平台收录Spring框架远程命令执行漏洞,安全补丁更新
2、Facebook因算法漏洞连推糟糕内容,一直持续半年
3、《华盛顿邮报》长文批评Meta雇佣公司攻击TikTok,引发数据隐私担忧
4、WordPress网站被黑,利用访问者对乌克兰发起DDoS攻击
5、央视曝光:部分浏览器 App 后台读取剪贴板用户信息,甚至包括银行卡账号密码明文
6、领英1000多个假账户被曝光:用AI生成假脸冒充真人发推销信息
7、29日早间微信 PC / Mac 版大面积故障,用户反馈无法登录
8、雀巢称10GB数据系自己泄露,非黑客Anonymous窃取
9、美联邦通信委员会将中国电信、中国移动等公司列入“安全威胁”名单
10、本田汽车曝重放攻击漏洞,可让黑客击解锁并启动汽车
近期,国际权威咨询机构Gartner基于对中国安全市场的调查研究和中国安全产品供应商的评估发布了分析报告《中国云安全市场概览》(Top Practices for Cloud Security in China)。
报告显示,中国是一个非常独特的市场,在云安全领域既面临一些全球共通性的挑战:例如是否或如何信任公有云,也面临一些本土特有的难点:例如技术可行性以及如何正确选择CSP。【阅读原文】
当下,网络边界的防护需求发生了三方面的核心变化:部署环境的变化、防护能力的变化、安全管理的变化。未来,防火墙的演进趋势如下:多态、智能、可持续运营。从现在起,未来再无一个独立的安全产品,所有的安全产品都将融入云化、智能、运营化的大安全趋势中去构建体系。【阅读原文】
伊朗的安全机构,即负责国家内部又负责外部的安全,即国防和情报机构的结合体。该国政权提出,网络空间是“软战争”,即西方利用文化和政治颠覆伊朗国家。根据目前可公开信息整理,伊朗网络作战能力主要来自三支力量:伊斯兰革命卫队的网络战分支、黑客团体、神秘组织“伊朗网络军”。【阅读原文】
该文章于2021年11月发表在《Computer Law & Security Review》上,文章围绕新兴的加密法律框架展开研究,其中回顾了构成这一法律框架的不同类型的法律,包括出口管制法律、网络犯罪相关的实体法律、刑事诉讼法、人权法和网络安全法律。文章根据法律所针对的三类规范对象或目标的差异(即加密技术、加密的相关主体、加密数据和通信),对这些法律进行分类分析,并从国际法和国内法两个层面进行了具体分析和探讨。【阅读原文】
近几年来,零信任(Zero Trust,ZT)成为网络安全领域的一个热点话题,甚至被很多人视为网络安全领域的“压倒性”技术趋势。如此热度之下,可能需要一些“冷思考”,有利于零信任这项技术的科学发展,使其从喧嚣回归理性,进而有效发挥零信任的作用。 【阅读原文】
PurplePanda是一款针对云环境安全的强大工具,该工具主要针对紫队安全研究人员设计(当然也适用于红队或蓝队研究人员),可以帮助广大研究人员识别单个云环境或跨云环境的提权路径。【阅读原文】
本文介绍比较好用的几个burp插件,并且亲自使用和调试了一段时间。不同burp的版本一定程度上会影响插件使用,老版本burp对有些插件并不适用,如果想要有良好的体验尽量下载新burp。有些插件需要在python环境下使用,有些需要配合其他工具利用。【阅读原文】
DOME是一款功能强大的子域名枚举工具,该工具是一个快速可靠的Python脚本,可以实现主动或被动扫描,以搜索目标子域名以及开放的端口信息。该工具主要针对漏洞奖励Hunter以及渗透测试人员设计,可以在网络侦查和数据收集阶段使用。【阅读原文】