官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯
• 系统安全
• 数据安全
• 网络安全
• 安全报告

全球动态

1.   CISA 发布扫描器，以识别受 Log4j 漏洞影响的 Web 服务

CISA 宣布发布一款开源扫描器，旨在帮助组织识别受 log4j 漏洞影响的潜在易受攻击的 Web 服务。 【外刊-阅读原文】

2. PYSA是11月最活跃的勒索软件团伙

PYSA 勒索软件团伙（又名 Mespinoza）运营商专门针对大型金融、政府和医疗机构，发起的攻击数量在 11 月增长了 50%。【外刊-阅读原文】

3.   Opera 浏览器致力于开发剪贴板反劫持功能

Opera 浏览器团队正在开发一种名为 Paste Protection 的新剪贴板监控和保护系统，旨在防止内容劫持和窥探。【外刊-阅读原文】

4.   新华社发行中国首套“新闻数字藏品”NFT

12 月 22 日消息，新华社现宣布，将于 12 月 24 日 20:00 通过区块链 NFT 技术，发行限量藏品。【阅读原文】

5.  大数据快速迁移到 Kubernetes，复杂性增加

Kubernetes 因其在扩展和管理应用程序和基础设施方面的敏捷性、速度和效率而成为首选的容器编排技术，但“云化”过程也面临不少挑战。【外刊-阅读原文】

6.   Fortinet发布2022 年安全趋势预测：威胁将蔓延整个攻击面

报告显示，2022年将是网络犯罪的高峰，勒索软件数量将显著增长，攻击者的数量也将达到空前的程度。 【外刊-阅读原文】

安全事件

1. Ubisoft 披露未经授权访问《舞力全开》用户数据泄露事件

视频游戏公司 Ubisoft 披露了一起导致未经授权访问《舞力全开》用户数据的数据泄露事件。安全漏洞是由配置错误引起的，好消息是问题已得到迅速解决。【外刊-阅读原文】

2. Microsoft Azure 应用服务中的一个漏洞暴露客户源代码

Microsoft Azure 应用服务中的一个漏洞导致客户源代码暴露至少四年。【外刊-阅读原文】

3. Dridex 恶意软件利用假的解雇邮件诱骗受害者

一个新的 Dridex 恶意软件网络钓鱼活动，正在使用假的员工解雇电子邮件作为诱饵，打开恶意 Excel 文档，然后伪装成问候信息诱骗受害者。 【外刊-阅读原文】

4.  黑客创建虚假拼车和送货服务账户，或面临最高22年监禁

一名男子承认使用在暗网市场上出售的被盗身份信息，以欺诈方式开设拼车和送货服务账户。【外刊-阅读原文】

5. 蜜罐实验揭示了黑客想要从物联网设备中获得什么

为期三年的蜜罐实验以模拟各种类型和位置的低交互物联网设备为特色，清楚地说明了为什么参与者会瞄准特定设备。【外刊-阅读原文】

6.  费雪学龄前玩具电话，蓝牙重启存在“窃听漏洞”

安全公司 PenTest Partners 发布的帖子指出，如果电话听筒处于关机状态，它会自动接听已连接智能手机的任何来电，类似于“反向对接拨号”。【外刊-阅读原文】

优质文章

1. 上传漏洞前段验证绕过思路总结

上传漏洞是常见的漏洞之一，利用上传漏洞可以上传木马到服务器，从而达到提权的目的。在进行渗透测试的时候，网站往往会有一些限制，限制你的渗透行为。【阅读原文】

2. Phobos勒索热度不减，绕过杀软花样百出

老牌勒索病毒Phobos近期新变种，伪装成正常的程序安装包，将勒索病毒主体加密保存到配置文件中的方式，绕过杀软检测。【阅读原文】

3.  “杀不掉”的“虚灵矿工”——门罗币挖矿木马分析报告  

该挖矿木马在文件末尾附加了大量空字节、使自身大小达到百MB级别，从而达到杀软和沙箱检测逃逸的目的。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。