研究人员在PayPal中发现一个未修复的安全漏洞，攻击者利用该漏洞可窃取用户资金。安全研究人员h4x0r_dz在PayPal转账服务"www.paypal[.]com/agreements/approve"中发现了一个安全漏洞，攻击者利用该漏洞只需要点击一次就可以诱使用户完成攻击者控制的···...

谷歌Java OAuth客户端库存在高危漏洞，攻击者可使用被黑的token部署恶意payload。漏洞概述谷歌OAuth Client Library for Java（Java OAuth客户端库）的设计目的是用来与web上的任意OAuth协作，而不仅仅是谷歌API。该库基于谷歌Java HTTP客户端库构建，支持Jav···...

2021年7月，Gartner发布《2021安全运营技术成熟度曲线》，并在其中首次提出了CAASM网络资产攻击面管理（Cyber asset attack surface management）和EASM外部攻击面管理（External attack surface management）概念，一众安全厂商纷纷发声表示“不谋而合”。在···...

总部设在以色列的NSO集团利用苹果iMessage中一个未知的零点击漏洞，将Pegasus或Candiru恶意软件植入到了政治家、记者和社会活动家的iPhone手机上。Citizen实验室在周一的一份报告中公布了这一发现，称有65人通过一个名为HOMAGE的iPhone漏洞感染了恶意软件。报···...

哥斯达黎加总统Rodrigo Chaves在周末宣布哥斯达黎加进入国家网络安全紧急状态。此前他的政府机构受到Conti勒索软件集团出于财政动机所发起的软件攻击。此次攻击严重阻碍了这个拉丁美洲国家的政府运行和经济发展。这次袭击由Conti勒索软件集团所负责，发生在三···...

研究人员发现，这个对美国公用事业进行网络间谍攻击的威胁集团实际上是由三个子集团组成的，他们都有自己的工具集和攻击目标，自2018年以来就一直在全球运作。TA410是一个伞式网络间谍组织，根据安全公司ESET的研究人员本周发表的一份报告，该组织不仅针对美国···...

为了防止安全漏洞，大多数人都避免点击可疑电子邮件、消息和有风险的下载。然而一种通过“零”交互来感染设备的攻击方式正悄然而生。它就是我们今天要讨论的“零点击”攻击场景。什么是“零点击”攻击无论是直接利用目标软件中的漏洞，还是通过社会工程手段诱···...

我们不知道自己的盲点，这是困扰安全团队的典型问题，也是0 day漏洞能够掀起轩然大波的关键原因。0 day漏洞是威胁行为者的“利器”，创造了宕机和恐慌的完美“风暴”。作为攻击一方“抛出”的意外因素，0 day漏洞可谓是一种令人望而生畏的存在，安全团队时常会···...

研究人员在C标准库的DNS组件中发现一个安全漏洞，利用该漏洞可以对DNS进行投毒攻击，影响数百万嵌入式和IoT设备。uClibc库和uClibc-ng库是两个标准的C语言库，可以提供扩展的DNS客户端接口，允许应用程序即时执行lookup和其他DNS相关的查询。被Netgear、Axis、···...

微软研究人员发现Linux系统多个安全漏洞——Nimbuspwn。微软研究人员在Linux系统中发现多个安全漏洞——Nimbuspwn，攻击者利用这些漏洞可以在Linux系统上实现权限提升，获得root权限，并成功部署后门、勒索软件等恶意软件。Nimbuspwn是networkd-dispatcher组件···...