freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf周报 | 安卓系统遭重大风险,可轻松破解锁屏;谷歌服软!3.9亿美金求和解
  • 关注
    FreeBuf周报 | 安卓系统遭重大风险,可轻松破解锁屏;谷歌服软!3.9亿美金求和解
    2022-11-18 15:37:49
    所属地 上海

    各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

    热点资讯

    1、年末购物季将至,一复杂钓鱼工具正针对北美消费者

    自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美用户为目标,利用劳动节和万圣节等假期,对消费者发动攻击。

    2、FBI 通缉 10 年的 JabberZeus 头目“坦克”被瑞士警方逮捕

    一名被美国通缉了十年的乌克兰人在 10 月 23日被瑞士当局在日内瓦逮捕,他是网络犯罪团伙JabberZeus成员之一,该团伙使用恶意软件宙斯(Zeus)盗取银行账户中数百万美元。

    3、臭名昭著的 Hive 勒索软件,从 1300 多名受害者手中勒索 1 亿美元

    美国联邦调查局(FBI)今天表示,自 2021 年 6 月以来,臭名昭著的 Hive 勒索软件团伙已经从一千多家公司成功勒索了大约 1 亿美元。

    4、Twitter 源代码表明,端到端加密私信即将到来

    Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。

    5、谷歌将于 2023 年在安卓 13 中引入隐私沙盒

    谷歌宣布将从明年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。隐私沙盒旨在创建技术来保护人们的在线隐私,限制秘密跟踪。

    安全事件

    1、中美俄首次参与网安演习,明年将面对面对抗

    据凤凰网军事频道援引韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。

    2、速查!安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

    一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

    3、马斯克执掌推特三周后,双因素身份认证出现漏洞

    11 月 15 日,据 Info Risk Today 报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。

    4、谷歌服软!3.915 亿美金求和解

    美国密歇根州总检察长办公室周一对外宣布,谷歌将支付 3.915 亿美元,就 40 个州指控其非法追踪用户位置达成和解。

    5、逾期不付赎金,高科技公司泰雷兹被 Lockbit 撕票

    Lockbit勒索软件组织近来可谓是动作频频,据SecurityAffairs消息,该组织在前不久攻击全球高科技公司泰雷兹(Thales)后,已开始泄露所窃取的数据。

    一周好文共读

    1、APP 漏洞挖掘(一)某下载量超 101 万的 APP 有几个漏洞可以 GetShell?

    从开始的迷茫、啥思路也没有,甚至两三天从早挖到晚一点收获都没有,到后面不断看网上的文章、实践总结,借助神器和运气某天能挖到六七个漏洞,晚上做梦都在想挖洞挖洞,睡眠不足白天也精神抖擞的,也算是获得了些APP漏洞挖掘的经验吧。后续勤奋的话可能会陆续输出一些APP漏洞挖掘的实战文章、经验总结文章。
    APP漏洞挖掘(一)某下载量超101万的APP有几个漏洞可以GetShell?

    2、序列化与反序列化 | PHP 反序列化漏洞

    实际上序列化就是将数据按照更易存储、传输等,改变其原有格式进行保存的一种方式,上面所说的只是最简单的一种序列化方式,实际上还可以在其序列化后的数据中加上对数据的描述控制信息(比如说长度等),方便后期更快的还原出原数据。
    序列化与反序列化 | PHP反序列化漏洞

    3、有趣的黑掉卫星 Hack-A-Sat CTF 比赛——模拟卫星视角 beckley

    题目描述得很简略,主办方希望参赛者利用 Google Earth 软件和 KML 文件寻找到设置的 flag。

    有趣的黑掉卫星Hack-A-Sat CTF比赛——模拟卫星视角beckley

    省心工具

    1、autoSSRF:一款基于上下文的智能 SSRF 漏洞扫描工具

    autoSSRF 是一款功能强大的智能化 SSRF 漏洞扫描工具,该工具基于上下文识别漏洞,并且适用于大规模扫描任务。1668604982_6374e4363d8f4502eb369.png!small

    2、VuCSA:一款包含大量漏洞的客户端-服务器安全练习平台

    VuCSA,全称为 Vulnerable Client-Server Application,即包含安全漏洞的客户端-服务器应用程序,该工具主要为安全学习而设计,广大研究人员可以利用 VuCSA 来学习、研究和演示如何对非 HTTP 厚客户端执行安全渗透测试。

    1668497380_63733fe4e4b4a2b42449e.png!small

    3、如何使用 jscythe 并通过 Node.js 的 Inspector 机制执行任意 JS 代码

    jscythe 是一款功能强大的 Node.js 环境安全测试工具,在该工具的帮助下,广大研究人员可以利用Node.js 所提供的 Inspector 机制来强制性让基于 Node.js/Electron/v8 实现的进程去执行任意 JavaScript代码。值得一提的是,即使是在目标进程的调试功能被禁用的情况下,jscythe 也能做到这一点。
    1668480025_6372fc1964099698c5350.jpg!small

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录
    热点资讯
    • 1、年末购物季将至,一复杂钓鱼工具正针对北美消费者
    • 2、FBI 通缉 10 年的 JabberZeus 头目“坦克”被瑞士警方逮捕
    • 3、臭名昭著的 Hive 勒索软件,从 1300 多名受害者手中勒索 1 亿美元
    • 4、Twitter 源代码表明,端到端加密私信即将到来
    • 5、谷歌将于 2023 年在安卓 13 中引入隐私沙盒
    安全事件
    • 1、中美俄首次参与网安演习,明年将面对面对抗
    • 2、速查!安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏
    • 3、马斯克执掌推特三周后,双因素身份认证出现漏洞
    • 4、谷歌服软!3.915 亿美金求和解
    • 5、逾期不付赎金,高科技公司泰雷兹被 Lockbit 撕票
    一周好文共读
    • 1、APP 漏洞挖掘(一)某下载量超 101 万的 APP 有几个漏洞可以 GetShell?
    • 2、序列化与反序列化 | PHP 反序列化漏洞
    • 3、有趣的黑掉卫星 Hack-A-Sat CTF 比赛——模拟卫星视角 beckley
    省心工具
    • 1、autoSSRF:一款基于上下文的智能 SSRF 漏洞扫描工具
    • 2、VuCSA:一款包含大量漏洞的客户端-服务器安全练习平台
    • 3、如何使用 jscythe 并通过 Node.js 的 Inspector 机制执行任意 JS 代码