微软修复了Azure Entra ID中的高危漏洞CVE-2025-55241,该漏洞允许攻击者仿冒任意用户身份,包括全局管理员。研究表明,该漏洞源于执行者令牌与Azure AD Graph API的缺陷,导致跨租户攻击。尽管微软迅速推出了修复方案,但安全专家警告此事件暴露了云身份系统的信任问题,强调需要建立独立可观测性以降低风险。
我通过了AWS认证安全专家考试,学习了80-100小时,主要使用Udemy和Stephane Maarek的SCS-C02课程,并结合Tutorial Dojo的模拟考试。考试内容集中在AWS Organizations、CloudFront和IAM结构上。建议选择一个课程并完成,模拟考试必不可少,理解服务功能比记忆更重要。
这篇文章介绍了一个免费的课程,旨在保护API服务器。课程由安全专家Anthony Aragues教授,涵盖了API安全的关键概念和最佳实践,包括跨域资源共享、错误披露、信息泄露预防、安全Cookie管理、路径遍历保护和速率限制等。课程可在freeCodeCamp的YouTube频道上免费观看。
随着网络威胁的增加,开发人员成为保护安全和数据的关键。DevSecOps理念强调开发人员和安全专家的合作,制定风险管理方法论,采用安全编码实践,保持警惕更新,将安全整合到工作流程中。
本文介绍了2024年攻防演练活动的进展情况,以及在北京举办的攻防演练大会。大会邀请了多位行业领袖和安全专家分享攻防理论和技术实战经验,探讨数据安全的实践。嘉宾们就数据保护与流动安全监管、大模型安全风险分析与应对实践、AIGC在安全领域的应用、数据安全驱动力、多源漏洞情报数据的应用、红蓝对抗思想在产品安全中的应用、企业人员安全风险治理、红队基础设置自动化、保险数智化转型等议题进行了分享。活动结束后进行了抽奖环节。
微软的新Windows AI功能Auto Super Resolution适用于高通、英特尔和AMD的新款芯片。英特尔和AMD的新款Copilot Plus PC需要免费软件更新才能获得微软的Copilot Plus AI功能。安全专家对微软的新Recall功能表示担忧。
Windows 11 的回忆功能存在一个严重缺陷,危及用户数据。被盗凭证可以解密并追踪用户操作。每隔几秒钟拍摄的屏幕截图是加密的,但可以通过登录凭证访问。如果微软不解决这些问题,安全专家计划发布一个数据库程序。
根据CertiK发布的报告,Telegram桌面版可能存在RCE漏洞,用户面临恶意攻击。Telegram回复称无法确认漏洞,但安全专家声称这是已知问题。用户应禁用自动下载功能以避免此漏洞。
威胁攻击者利用Brick Builder插件的漏洞,在易受攻击的网站上执行恶意PHP代码。漏洞已修复,但用户仍需尽快升级到最新版本。安全专家建议Bricks用户立即升级到1.9.3.1版本。
澳大利亚医疗保健提供商圣文森特健康澳大利亚遭受网络攻击,导致数据泄露。公司已向地方当局报告,并与澳大利亚政府合作。已聘请外部安全专家调查入侵,并采取了一系列应对措施。前线服务能力未受影响。
蚂蚁集团正在招聘高级安全工程师和安全专家,负责规划和设计业务安全体系、基础设施安全和数据安全。应聘者需要具备相关工作经验和技术知识,并且有创新精神和团队合作精神。工作地点为杭州和重庆,薪资面议。
网商银行正在招聘应用安全、基础设施安全、系统安全、数据安全、安全研发和安全算法专家,要求有相关工作经验和技术能力。
Gepson Payload Generator是一款使用Python编写的工具,可以生成多种操作系统和架构的Meterpreter Payload。它易于使用,可以帮助安全专家和渗透测试人员快速生成Payload,提高测试效率。
FreeBuf企业安全俱乐部·北京站将在北京希尔顿逸林酒店举行,以“重塑,让安全生产价值”为主题,来自全国的网安行业技术大拿、安全专家和安全负责人将共聚一堂。FreeBuf特邀演讲嘉宾做客直播间,3月22日,让我们一起期待这场思维碰撞!
西班牙巴塞罗那的一家医院遭遇勒索软件攻击,导致医院计算机系统故障,约150个非紧急手术和数千病人的预约检查被迫取消,攻击严重影响医院正常运转,加泰罗尼亚地区网络安全局正在统筹安全专家以恢复受攻击影响的计算机系统和数据信息。
FreeBuf企业安全俱乐部·北京站举办「数字化安全合规论坛」,邀请安全专家分享最具创新的数字化安全合规理念,探讨如何维持数字化发展与安全合规之间的平衡,促进企业稳健运营。报名活动正在进行中。
完成下面两步后,将自动完成登录并继续当前操作。
/cdn.vox-cdn.com/uploads/chorus_asset/file/25470856/Copilot_PC_Hero.jpg)
