全球动态

1. 英国政府设备禁止安装 TikTok

这一禁令是在英国国家网络安全中心的网络安全专家对 TikTok 进行评估之后做出的，适用于大臣和公务员的工作电话，不适用于他们的个人电话。【阅读原文】

2. 9 亿条印度警方业务机密数据疑似流入暗网

在某论坛上，一名用户声称拥有一个包含超过 9 亿份印度法律文件的数据库，其中包括印度警方记录、报告、法庭案件以及被告和被捕人员等详细信息。【外刊-阅读原文】

3. 微软释出更新修复两个正被利用的 0day

微软释出了三月例行安全更新，修复了 74 个漏洞，其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10，是 Microsoft Outlook 中的一个提权漏洞。【阅读原文】

4. 三星 Exynos 芯片组爆出 18 个零日漏洞，影响多款产品

谷歌 Project Zero 安全团队在三星用于移动设备、可穿戴设备和汽车的 Exynos 芯片组中发现了 18 个漏洞，包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等产品均受影响。【外刊-阅读原文】

5. FCC 出台新规，要求美国无线运营商屏蔽诈骗短信

美国联邦通信委员会（FCC）近日宣布通过一项新的法案，要求包括运营商在内的无线公司屏蔽诈骗短信。【阅读原文】

6. FakeWalls Android 恶意软件以新的方式隐藏在手机上

安卓恶意软件“FakeWalls”再次在韩国流行，模仿 20 多家金融机构的电话，试图欺骗银行家泄露他们的信用卡详细信息。【外刊-阅读原文】

安全事件

1. 《2022 年度中国手机安全状况报告》，网诈男性受害者占 66%

《2022 年度中国手机安全状况报告》显示，2022 年全年 360 反诈赔付宝共接到 11 类诈骗举报，涉案总金额达 2665 万元。【阅读原文】

2. 美国证券交易委员会为金融机构提出新的网络事件报告规则

美国证券交易委员会（SEC）为一系列金融组织提出了新的网络安全规则，迫使它们在发现事件后 48 小时内报告事件，并实施某些安全政策。【外刊-阅读原文】

3. 《电信领域违法行为举报处理规定》发布 ，6 月 1 日起施行

为规范电信领域违法行为举报处理工作，维护电信市场秩序，保护电信用户合法权益，根据《中华人民共和国行政处罚法》《中华人民共和国电信条例》等法律法规，结合工作实际，工业和信息化部近日印发《电信领域违法行为举报处理规定》。【阅读原文】

4. 微软揭露了俄罗斯与在乌克兰之间的"混合战争"

与俄罗斯有关的威胁行为者在 2023 年 1 月至 2 月中旬期间瞄准了至少 17 个欧洲国家。根据微软发布的一份报告，自入侵乌克兰以来，国家资助的黑客已经瞄准了 74 个国家。【外刊-阅读原文】

5. Casper 隐蔽攻击方式：可在 1.5 米范围内，通过麦克风窃取目标设备 

高丽大学网络安全专家发现一种非常隐蔽的信息窃取手段，在 1.5 米范围内，利用智能手机或者笔记本所内置的麦克风，监听设备内部扬声器来窃取数据，专家将这种攻击方式称之为”Casper”。【阅读原文】

6. 波兰情报部门捣毁了一个俄罗斯间谍网络

波兰情报部门捣毁了一个俄罗斯间谍小组，该小组收集了通过欧盟成员国向乌克兰运送军事装备的信息。【外刊-阅读原文】

优质文章

1. 一次前端 RSA 加密之使用 Mitmdump 自动化加解密渗透测试

在一次实战渗透测试中，使用 burp 抓包遇到了 js 加密，通过 js 逆向找到了加密算法，最终利用mitmdump 联动 burpsuite 实现了自动化加解密。【阅读原文】

2. 关于 Java 中 order by 注入详解

实际上针对不同类型的漏洞在源码层面有很大的不同，例如 php 中联合查询一定是存在回显位，即将数据库中查询结果展示；盲注大概率是进行了if判断；报错注入一般存在这类函数 print_r(mysql_error())(java中catch (Exception e) { return e.toString(); })等。【阅读原文】

3. 针对 Web 服务器的 Golang 僵尸网络 GoBruteforcer

研究人员近日发现了一个 Golang 开发恶意软件，并将其命名为 GoBruteforcer。该恶意软件主要针对 Web 服务，特别是 phpMyAdmin、MySQL、FTP 和 Postgres 服务。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。