FreeBuf周报 | 2023年OWASP十大API安全风险清单;广东电信全网故障,官方回复来了
2023-6-9 17:15:29 Author: www.freebuf.com(查看原文) 阅读量:21 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1. 广东电信全网故障,官方回复来了

6 月 8 日,广东电信大面积宕机服务炒得“沸沸扬扬”,针对这一突发性网络中断事故,广东省通信管理局于当晚迅速召集广东电信、广东移动、广东联通、广东广电、广东铁塔相关负责人召开网络运行安全紧急调度会。

2. 研究人员:这个 Visual Studio 漏洞值得警惕

Varonis 安全研究人员警告称微软此前修复的一个 Visual Studio 安装程序漏洞危害不容小视,攻击者可以利用此漏洞伪装成合法的软件,创建和分发恶意扩展程序,对开发环境进行渗透,从而掌控代码、窃取高价值的知识产权。

3. 2023 年 OWASP 十大 API 安全风险清单

OWASP API 安全项目通过强调不安全 API 中的潜在风险,并说明如何减轻这些风险,为软件开发人员和安全评估人员提供价值。为了实现这一目标,OWASP AP I安全项目创建了一份 10 大 API 安全风险文名单。

4. ALPHV BlackCat 勒索团伙非法窃取谷歌、Meta 互动机密信息

ALPHV / BlackCat 勒索软件团伙声称访问到了大量敏感数据,包括某科技巨头处理特殊服务信息请求的方式以及特殊代理商的凭据。

5. 紧急安全更新: 思科和 VMware 修复关键漏洞

VMware 已经发布了安全更新,以修复 Aria Operations for Networks 中可能导致信息泄露和远程代码执行的三个漏洞。

安全事件

1. 《人工智能安全标准化白皮书(2023 版)》发布

在全国信息安全标准化技术委员会 2023 年第一次标准周“人工智能安全与标准研讨会”上,信安标委大数据安全标准特别工作组发布《人工智能安全标准化白皮书(2023版)》

2. 美国航空航天国防工业遭严重恶意软件攻击

来自 Adlumin 威胁研究的研究人员发现了一个新的恶意 PowerShell 脚本,被称为 PowerDrop,被用于针对美国航空航天领域的组织的攻击。

3. 2000 万美元!微软为侵犯儿童隐私买单

微软同意支付 2000 万美元罚款并改变儿童数据隐私程序,以解决联邦贸易委员会(FTC)对其违反《儿童在线隐私保护法》(COPPA)的指控。

4. 本田被曝存在 API 漏洞,客户数据正处于高风险状态!

本田被曝存在 API 漏洞,客户数据正处于高风险状态。由于利用 API 漏洞可以重置任何帐户的密码,所以本田的电力设备、船舶、草坪和花园电子商务平台等都极易遭到外部人员的入侵。

5. 可被黑客恶意利用,超 6 万款 Android 应用暗藏广告软件

知名安全厂商 Bitdefender 发布的一份报告称,他们在过去 6 个月中发现了  6 万款不同类型的 Android 应用秘密地嵌入了广告软件安全程序。

一周好文共读

1. 我的安全之路:如何从安全小白成长为安全研究员

本文主要分享自己的网络安全成长经验,从最开始的安全小白(就跟游戏中的NPC一样)到后面小有成就,成为安全研究员,一路走来,有很多感悟,有很多坚持,分享给有需要的朋友。【阅读原文
我的安全之路:如何从安全小白成长为安全研究员

2. GPT 在企业安全运营&事件响应中的应用场景思考

本文重点思考在企业安全攻防、安全运营、事件响应领域如何与 GPT 进行结合,提升效率。未来已来,AI可期。【阅读原文
1685436106_6475b6ca0f9f5ed917e7e.jpg!small

3. GitLab CI 接入代码安全扫描技术实践

GitLab 平台功能强大,除了用于进行 Git 项目的代码托管,还具备完善的 CI/CD 能力,能够帮助研发同学一站式的完成代码提交,项目编译,项目部署等工作,大大简化了 DevOps 流程中各种平台的对接工作。【阅读原文

GitLab CI 接入代码安全扫描技术实践

省心工具

1. 如何使用 WindowSpy 实现对目标用户的行为监控

WindowSpy 是一个功能强大的 Cobalt Strike Beacon 对象文件,可以帮助广大研究人员对目标用户的行为进行监控。该工具的主要目标是仅在某些目标上触发监视功能,例如浏览器登录页面、敏感文件、vpn登录等。目的是通过防止检测到重复使用监视功能(如屏幕截图)来提高用户监视期间的隐蔽性。【阅读原文1685678064_647967f0736c4e80d0e37.png!small

2. QuadraInspect:一款功能强大的 Android 应用程序安全分析框架

由于存储在移动设备上的敏感数据数量不断增加,移动设备的安全性已成为一个关键问题。随着安卓操作系统作为最受欢迎的移动平台,对评估其安全性的有效工具的需求也在增加。为了满足这一需求,一个新的 Android 框架出现了,即 QuadraInspect。【阅读原文1685676938_6479638a2a7241ecac7b6.jpg!small

3. 如何使用 FirebaseExploiter 扫描和发现 Firebase 数据库中的安全漏洞

FirebaseExploiter 是一款针对Firebase数据库的安全漏洞扫描与发现工具,该工具专为漏洞 Hunter 和渗透测试人员设计,在该工具的帮助下, 广大研究人员可以轻松识别出 Firebase 数据库中存在的可利用的安全问题。【阅读原文1685673833_64795769b834e115fe11e.png!small


文章来源: https://www.freebuf.com/news/369078.html
如有侵权请联系:admin#unsafe.sh