各位FreeBufer周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点!
热点资讯
1、21万FB用户「跨越时空」共享CIS 2021春日大会
2、CPU又曝大bug,涉及英特尔、AMD、ARM
3、继NVIDIA之后,三星也被公开了源代码和190GB机密数据
4、俄罗斯与乌克兰的战争中,谁的网络工兵更多?
5、继英特尔和苹果之后,微软也断供俄罗斯
6、FBI:美国52个关键基础设施已被入侵
7、黑客组织入侵俄罗斯媒体,播放乌克兰战争画面
8、Firefox再爆两个0Day漏洞,建议尽早升级
9、75%的医用输液泵受到已知漏洞影响
10、2021年网络钓鱼攻击中被冒充最多的品牌,Facebook位居榜首
优质文章
1、工信部发布《车联网网络安全和数据安全标准体系建设指南》
《建设指南》提出,到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。【原文链接】
2、【技术分析】乌克兰战争背后的网络攻击和情报活动
近日乌克兰局势不断升级,直到今天,发展成为全面的战争行为,除了目前牵动世界神经的战争局势发展态势,还有伴随在战争之下频繁的网络战争。网络攻击一直伴随着本次冲突的发展而不断出现,成为本次战争的先行战场。本文将根据目前已经监控的攻击情况结合公开的情报对本次冲突下的网络攻击分析梳理和分析,同时进一步的对近日出现的新型数据擦除恶意软件进行深入剖析。[阅读原文]
3、挑战亚马逊微软云市场“一哥”地位,谷歌拟54亿美元收购网安公司Mandiant
谷歌母公司Alphabet宣布计划以54亿美元收购网络安全公司Mandiant,如收购成功,Mandiant将加入谷歌的云计算部门,以更好地和亚马逊AWS和微软Azure在云市场开展竞争。据CNBC报道,谷歌将为Mandiant支付23美元/股,且该笔收购为全现金交易,预计将在今年完成。[阅读原文]
4、从网络空间认知战到对俄大规模网络致瘫攻击
传统的“认知战“主要针对敌对方的军人和群众。但是在本次俄乌冲突中,亲乌反俄势力利用网络舆论对全世界的网民发动了“网络空间认知战“,大量利用互联网舆情操纵大众意识,影响大众对乌俄局势的判断,煽动了大量原本中立的互联网民众参与到针对俄罗斯的网络空间战争中来。[阅读原文]
5、算法推荐技术合规要点梳理与备案指引
2022年3月1日,国家互联网信息办公室、工业和信息化部、公安部以及国家市场监督管理总局联合发布的《互联网信息服务算法推荐管理规定》正式生效。同日,互联网信息服务算法备案系统正式上线运行。本文将简述算法推荐技术合规要点以及备案指引。[阅读原文]
省心工具
1、Boko:一款针对macOS的应用程序劫持扫描工具
Boko是一款针对macOS的应用程序劫持扫描工具,该工具可以帮助广大研究人员搜索和识别目标应用程序可执行文件中潜在的Dylib劫持和弱Dylib漏洞,并发现应用程序所使用的脚本中是否有可能被植入后门。该工具基于DylibHijack项目的scan.py脚本进行了重新开发,可以扫描出研究人员所感兴趣的文件,并将它们枚举出来。[阅读原文]
2、如何使用SSRFire自动扫描和发现SSRF漏洞
SSRFire是一款针对SSRF漏洞的自动化漏洞挖掘工具,在该工具的帮助下,广大研究人员只需要给该工具提供一个目标域名和服务器信息,SSRFire将帮助我们自动挖掘出潜在的SSRF漏洞。除此之外,该工具还可以挖掘XSS以及开放重定向等安全漏洞。[阅读原文]
3、如何使用openSquat检测钓鱼域名和域名占用
openSquat是一款开源的智能化OSINT公开资源情报工具,该工具可以帮助广大研究人员检测和识别特定的网络钓鱼域名或域名占用问题。[阅读原文]