2022年04月03日
关于SQLancerSQLancer,全称为Synthesized Query Lancer,该工具是针对数据库管理系统的DBMS自动安全测试工具。该工具可以帮助研究人员轻松识别应用程序实现中的逻辑漏洞。我们在这里提到的逻辑漏洞可以导致DBMS获取错误结果集的安全漏洞(如忽略数据记录等)。SQLancer可在以下两个阶段操作: 数据库生成:这一阶段的目标是创建一个填充数据的数据库DBM
2022年04月03日
根据新的Guardicore研究,Microsoft Exchange使用的协议Autodiscover存在漏洞,导致各种漏洞Windows和Microsoft登录凭证被泄露。Exchange使用Autodiscover客户端应用程序的自动配置,如Microsoft Outlook。企业安全供应商Guardicore安全研究区副总裁Amit Serper在公司专门针对漏洞的帖子中,Autodiscover设计缺陷导致协议Web请求‘泄漏’在用户域外Autodisco
2022年04月03日
据行业媒体报道,在其基础设施中使用VMware近日,平台企业收到vCenter Server警告在分析服务中存在严重漏洞。根据VMware无论是公司发表的博客文章,vCenter Server的配置设置如何,任何可以通过网络访问vCenter Server获得访问权限的人可以利用这个漏洞进行攻击。漏洞的标签是CVE-2021-22005,CVSS评分为9.8,允许恶意行为者访问端口443并上传未修复服务器的文件。这些错误是由Solid Lab公司技术人员George Noseevich和Se
2022年04月03日
物联网设备现在是标准的消费者和商业技术。它们日益增长的可用性和通常不良的安全性意味着它们已经成为黑客的重要目标。同时, COVID-19 转向远程工作的做法鼓励网络犯罪分子加大力度,使各种网络更容易受到攻击。恶意软件的物联网设备正在增加,网络犯罪分子在攻击中更频繁地使用僵尸网络。该技术的所有者和开发者应该知道恶意软件如何感染物联网设备,以及他们可以采取什么步骤来保护他们的产品。不断增长的物联网恶意软件和勒索软件威胁2020 年,大多数新 IoT 攻击都是由两个着名的 IoT 僵尸网络驱动:Mo
2022年04月03日
根据 KrebsOnSecurity苹果允许任何智能手机用户扫描丢失的 AirTag 为了定位所有者的联系信息,该功能可能被滥用于网络钓鱼欺诈。AirTag 当设置为丢失模式时,它会产生 URL“https://found.apple.com”,它让 AirTag 所有者输入联系电话或电子邮件地址。任何扫描 AirTag 人会被自动引导到有主人联系信息的 URL,无需登录或个人信息即可查看提供的联系信息。据 KrebsOnSecurity 表示,丢失模式不能防止用户
2022年04月03日
最近,应用交付网络(ADN)领域厂商F5,宣布以6800万美元现金收购威胁检测公司Threat Stack。该交易将在F52022财年第一季度(截至2021年12月31日),预计2022财年收入将增加约1500万美元。据了解,Threat Stack提供监控云、混合云、多云和容器环境的平台,自动关联安全事件,识别可疑活动。F5它的应用程序和API保护解决方案将与Threat Stack结合云安全功能,提高跨应用基础设施和工作负荷的可见性,提高跨应用安全性。F5安全执行副总裁Haiyan S
2022年04月03日
Unit 42威胁情报团队最近首次发现了一个新的漏洞,这将导致公共云服务的用户脱离其环境,并在同一公共云服务的其他用户环境中执行代码。这种前所未有的跨账户接管影响了微软Azure容器即服务(CaaS)平台。由于攻击始于容器逃逸,研究人员将这一发现命名为Azurescape,这是一种可以从容器环境中升级权限的技术。在微软安全响应中心(MSRC)在报告了这些问题后,微软立即采取行动来修复这些潜在问题。我们不知道是否已经存在了Azurescape攻击发生,但Azure容器实例(ACI)该平台的恶意用户
2022年04月03日
研究人员IllusionOfChaos声称早在今年上半年,就向苹果公布了影响操作系统的四个安全漏洞,但截至上周iOS 15.0,苹果只修复了其中一个漏洞,从未提到漏洞发现者IllusionOfChaos。这位研究人员对苹果的态度感到失望,并于上周宣布了四项最新项目iOS 15安全漏洞。自称为IllusionOfChaos研究人员指出,他在3月至5月向苹果公布了四个漏洞。根据行业挖掘奖励制度,软件制造商不仅应在确认漏洞后的合理时间内进行修复,还应在安全公告中公开承认研究人员的贡献,并提供相应的
2022年04月03日
最近,安全人员Jiten Jain发推文爆料,一个包含38亿条Clubhouse用户数据库以10万美元的价格在暗网上销售,包括用户姓名、电话号码、Clubhouse排名和Facebook个人数据链接。Clubhouse在新冠肺炎疫情爆发期间,它是一个独立的音频社交网络,用户数量迅速增加。如果泄漏是真实的,威胁者可以使用泄漏数据来处理潜在的受害者: 开展有针对性的网络钓鱼等社会工程活动;
2022年04月03日
91月29日,由国家工业信息安全发展研究中心主办的第三届工业信息安全应急国际研讨会成功召开。会议围绕工业信息安全应急响应、国际合作、人才培训等主题进行了深入的交流和讨论。会议还会议2020-2021年度工业信息安全应急服务、监测预警网络建设、漏洞库支持等优秀支持单位,天地和兴凭借专业的工业安全应急服务能力和突出表现,获得“优秀的工业信息安全应急服务支持单位”称号。本次研讨会以“链接新市场,助推双循环”以行业主管部门、外国高级政府官员、国内外知名专家