各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
全球娱乐和酒店业巨头米高梅国际酒店集团(MGM Resrts International)遭到勒索软件攻击,其网站、预订系统和酒店电子钥匙卡系统受到严重影响。
美国国家安全局(NSA)、联邦调查局(FBI)、网络安全和基础设施安全局(CISA)联合发布了一份网络安全信息表(CSI),以应对深度伪造所带来的新威胁。
研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞,这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。
一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。
网络安全公司 SlashNext 发现如今的 AI 聊天机器人出现了一种令人担忧的情况,有用户利用 AI 聊天机器人系统漏洞进行"越狱"操作,这违反了道德准则和网络安全协议。
Mozilla 布了安全更新,修复了 Firefox 和 Thunderbird 中的一个关键零日漏洞。该漏洞被标记为 CVE-2023-4863,是 WebP 图像格式中的堆缓冲区溢出漏洞,在处理特制图像时可能导致任意代码执行。
某黑客组织通过一个伪造和受损的 Facebook 账户网络,发送数百万条 Messenger 钓鱼信息,利用密码窃取恶意软件攻击 Facebook 企业账户。
本月,上海首个网络安全主题公园正式面向群众开放。位于青浦区徐泾镇虹泾鑫汇园的“网安基地”——网络安全主题公园成为周边社区百姓最新的“打卡点”。
美国纽约警方为了监视社交媒体上的用户及内容,花费数百万美元与一家曾被指控不当抓取平台数据的监控公司签订了合同。
全球多所顶尖高校的网站因未能及时更新安全补丁,存在敏感信息数据泄露,甚至被攻击者全面接管的风险。
前面写了一篇关于 SDL 实践方面文章,但是目前越来越多的公司开始转向了devsecops体系的建设,看了一些关于这方面的文章,浅谈一下自己的理解。devsecops 说白了就是 devops+sec,在 devops 的开发流程下嵌入安全。【阅读原文】
安全防护公司 Zayo 发布了《2023 年 DDoS 攻击现状及趋势报告》,通过分析 14 个行业和地区的客户所经历的 70000 多个威胁检测和缓解,揭示了哪些行业正在受到攻击、攻击发生的频率、每次攻击持续的时间以及攻击的规模等内容,旨在帮助组织更好地应对此类威胁。【阅读原文】
本文将对零信任技术做一个详细的讲解,通过此文,你可以深刻理解零信任的本质以及规避掉自己过去的一些认知误区。【阅读原文】
Kurukshetra 是一款功能强大的开源框架,该框架的主要目标就是通过交互式的问题解决方式来告诉广大研究人员或开发人员如何能够更好地实现安全编码。Kurukshetra 本质上是一个 Web 框架,并未托管合理复杂的安全编码挑战提供坚实的基础,同时仍然能够根据用户输入高效动态地在安全的沙盒环境中执行每个挑战。【阅读原文】
WSSAT 是一款功能强大的 Web 服务安全评估与审计工具,该工具完全开源,并给广大研究人员提供了一个动态环境,即只需要编辑其配置文件即可添加、更新或删除漏洞。该工具接受 WSDL 地址列表作为输入文件,并且针对每个服务都会对其中潜在的安全漏洞执行静态和动态测试。值得一提的是,该工具还会给我们指定好信息披露控制措施。在该工具的帮助下,所有的网络服务不仅都可以同时进行分析,而且组织还可以看到网络系统整体的安全评估。【阅读原文】
Gitmails 是一款能够在 Git 版本控制主机服务中收集 Git 提交电子邮件的信息收集工具,该工具可以帮助广大研究人员扫描和识别 Git 提交中包含的作者名称、电子邮件配置和版本控制主机服务是否存储了多个项目。【阅读原文】