《软件供应链安全治理与运营白皮书（2022）》正式发布 2022年8月1日，由悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书（2022）》于ISC互联网安全大会悬镜出品的“软件供应链安全治理与运营论坛”上正式发布。白皮书重点梳理... 2022-8-24 12:7:9 | 阅读: 33 | 收藏 | 嘶吼专业版 安全 开源 威胁 风险 攻击

在登录 OAuth 流程中使用”OAuth-dance”方法进行帐户劫持（下） 我们在上一篇文章中介绍了响应类型，如何通过 postMessage 窃取令牌以及小工具1，本文接着讲小工具2、小工具3，以及泄露 URL 的其他途径。我在 5 月 12 日报告了使用这个小工具在野外发... 2022-8-24 12:7:5 | 阅读: 14 | 收藏 | 嘶吼专业版 postmessage 攻击 攻击者 受害者 受害

超过8万台海康威视摄像头受漏洞影响 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞，攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现... 2022-8-24 12:7:3 | 阅读: 27 | 收藏 | 嘶吼专业版 漏洞 海康 攻击 网络 修复

希腊天然气运营商遭到勒索软件攻击，数据泄露 希腊最大的天然气分销商DESFA周六证实，它遭到了网络攻击，导致部分数据泄露，IT系统中断。DESFA在周六向当地新闻媒体公开的一份声明中解释，黑客企图渗入其网络，但幸好其IT团队迅速反应，黑客的阴谋... 2022-8-23 12:3:44 | 阅读: 9 | 收藏 | 嘶吼专业版 desfa 数据 勒索 攻击 天然气

恶意软件可绕过安卓13安全新特征 8月，谷歌正式发布了安卓 13系统，其中引入了新的安全特征，尝试拦截恶意软件请求安卓权限来在后台执行恶意、隐蔽行为，比如AccessibilityService这样功能强大的安卓权限。近日，Threa... 2022-8-23 12:3:40 | 阅读: 10 | 收藏 | 嘶吼专业版 释放器 bugdrop apk

在登录 OAuth 流程中使用”OAuth-dance”方法进行帐户劫持（上） "OAuth-dance”方法是什么？首先，你可以在OAuth-dance中使用不同的响应类型，最常见的三种是：1.代码+状态。该代码用于调用 OAuth-provider 服务器端以获取令牌。sta... 2022-8-22 12:2:32 | 阅读: 7 | 收藏 | 嘶吼专业版 攻击 dance postmessage 受害 攻击者

「数澈软件」获5300万元种子轮融资，构建新一代软件供应链防火墙 近日，数澈软件Seal（以下简称“Seal”）宣布完成5300万元人民币种子轮融资，本轮融资由GRC富华资本领投。Seal 联合创始人及CEO 秦小康表示，本轮融资资金将用于产品研发和市场推广。Sea... 2022-8-22 12:2:30 | 阅读: 8 | 收藏 | 嘶吼专业版 安全 seal 开源 防火墙 rancher

亚马逊Ring安卓app漏洞可窃取个人信息 亚马逊Ring安卓app漏洞可以访问摄像头记录。Ring 是亚马逊运行的家用安全环境产品，包含户内外监控摄像头。其中Ring安卓APP下载次数超过1000万次。Checkmarx 安全研究人员在亚马逊... 2022-8-22 12:2:27 | 阅读: 10 | 收藏 | 嘶吼专业版 漏洞 攻击 数据 攻击者 checkmarx

微软修复"DogWalk "0 day漏洞和其他的17个关键性的漏洞 微软正在敦促用户修补一个名为Dogwalk的0 day漏洞，该漏洞目前在野外一直被大量攻击利用。该漏洞（CVE-2022-34713）与微软Windows支持诊断工具有关，它允许远程攻击者在有漏洞的系... 2022-8-21 01:34:58 | 阅读: 11 | 收藏 | 嘶吼专业版 漏洞 攻击 修复 dogwalk windows

2022 年第二季度IT威胁演变 今年早些时候，卡巴斯基实验室的研究人员就发现了一个恶意活动，该活动采用了一种新技术，通过将 shellcode 直接注入 Windows 事件日志，从而在目标设备上安装无文件恶意软件。攻击者使用它来隐... 2022-8-21 01:34:56 | 阅读: 12 | 收藏 | 嘶吼专业版 攻击 攻击者 漏洞 模块

云容器是裹着糖衣的威胁吗？ 容器是云原生应用界一项迅猛发展的技术。就像计算系统一样，容器由软件程序包组成，而这些软件程序包含有所有必要的组件，比如用于从任何地方运行应用程序所需的二进制代码、文件和库。容器是轻量级的，开发运维（D... 2022-8-20 12:2:33 | 阅读: 9 | 收藏 | 嘶吼专业版 容器 安全 镜像 威胁 数据

ÆPIC Leak漏洞影响Intel CPU 攻击者利用ÆPIC Leak漏洞可以从Intel CPU处理器中获取加密密钥和其他秘密信息。来自罗马大学等研究机构的研究人员发现了一个处理器数据泄露漏洞——ÆPIC Leak，这是首个微架构架构性数据... 2022-8-20 12:2:28 | 阅读: 13 | 收藏 | 嘶吼专业版 漏洞 Æpic 数据 aepicleak sgx

Active Directory环境网络共享配置权限不当问题的分析和利用 本文会详细介绍如何在Active Directory环境中快速地对配置了过多权限的网络共享进行梳理、利用和修复。过多的共享权限可能导致企业环境中的数据暴露、权限提升和勒索软件攻击。另外，我们还将深入探... 2022-8-19 12:8:44 | 阅读: 9 | 收藏 | 嘶吼专业版 共享 攻击 网络 数据

软件开发人员用谷歌搜索突破现代汽车安全防线 一位开发人员近日表示，在发现这款汽车的制造商使用不仅公之于众，还从编程示例照搬的密钥来保护系统后，他能够在其汽车信息娱乐硬件上运行自己编写的软件。明尼苏达州明尼阿波利斯市的软件工程师Daniel Fe... 2022-8-19 12:8:39 | 阅读: 13 | 收藏 | 嘶吼专业版 加密 feldman 固件 ivi 映像

在企业 EDR 环境中模拟 Phineas Phisher 发起的对 Hacking Team 的攻击 2017年意大利间谍软件公司Hacking Team被黑，之后攻击者还把该公司的400G文件放到了网上，包括内部文档、源代码和通信邮件，后来才知道，这是一个名为“Phineas Phisher”的自黑... 2022-8-18 12:4:35 | 阅读: 13 | 收藏 | 嘶吼专业版 攻击 安全 攻击者 网络 cobalt

关键基础设施攻击剧增：英国水务公司遭遇Clop勒索软件攻击 英国一家水务公司周一因网络攻击而导致其企业IT系统出现中断，但声称其供水业务并没有受到影响。同时，所谓的攻击者--Clop勒索软件集团声称攻击的对象是另一家更大的水务公司，而该公司则愤然对外声称并没有... 2022-8-18 12:4:32 | 阅读: 11 | 收藏 | 嘶吼专业版 攻击 水务 网络 clop

朝鲜黑客攻击deBridge加密货币平台 朝鲜黑客组织Lazarus攻击deBridge跨链加密货币平台。deBridge 是一个用于跨链互操作性和流动性转移的去中心化标准，deBridge Finance是基于deBridge的跨链平台，可... 2022-8-17 12:4:5 | 阅读: 17 | 收藏 | 嘶吼专业版 攻击 debridge 黑客 finance 加密

物联网僵尸网络已成为助长DDoS攻击的土壤 虽然数据泄露和勒索软件仍然被认为是企业需要面对的更为重要的问题之一，但威胁有时来自我们意想不到的方向。比如网络犯罪分子将僵尸网络用于各种恶意目的，其中最重要的是用于对目标的DDoS攻击。最重要的变化是... 2022-8-17 12:4:3 | 阅读: 11 | 收藏 | 嘶吼专业版 攻击 网络 僵尸 安全 攻击者

联邦调查局：Zeppelin勒索软件使用了新的破坏方式和加密策略 美国联邦调查局警告说，Zeppelin勒索软件又重新回来了，并在其最近针对各垂直行业（特别是医疗保健）以及关键基础设施组织的攻击活动中采用了新的破坏和加密策略。根据网络安全和基础设施安全局（CISA）... 2022-8-16 12:2:41 | 阅读: 9 | 收藏 | 嘶吼专业版 攻击 zeppelin 勒索 网络 威胁

戳穿基于硬件的安全的四大流言 一说到网络安全，每个人都喜欢谈论软件及其带来的种种危险。然而，人们经常忽视基于硬件的安全及其在建立安全工作环境方面的重要性。这归因于人们在硬件安全及其工作原理方面普遍缺乏知识。因此，是时候戳穿您在硬件... 2022-8-16 12:2:40 | 阅读: 15 | 收藏 | 嘶吼专业版 攻击 安全 网络 信息 物理层