压缩管理器Bandizip自带签名工具存在白加黑滥用风险 可用于加载任意DLL

压缩管理器Bandizip自带签名工具存在白加黑滥用风险 可用于加载任意DLL
蓝点网
蓝点网 ·

某大学生分析APP的加密流程,发现请求参数仅有一个加密参数d。通过逆向分析,定位登录接口及核心代码,逐步还原加密流程,解析通用参数hashMap和密码加密逻辑,揭示了加密方法中的安全缺陷。

某大学生常用APP抓包数据加密流程分析
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
纽约指控Zelle的安全漏洞导致超过10亿美元的诈骗

纽约指控Zelle的安全漏洞导致超过10亿美元的诈骗
The Verge
The Verge ·

研究人员发现了一种新型的"负鼠攻击"漏洞,攻击者利用隐式TLS和机会型TLS的安全缺陷,能够破坏加密连接的完整性,实施中间人攻击。建议全面弃用机会型TLS以防止此类攻击。

负鼠攻击:新型漏洞威胁TLS加密连接,可实施中间人攻击与数据注入
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

AppOmni调查显示,Salesforce行业云存在20余项安全缺陷,包括多个高危零日漏洞。用户配置错误可能导致敏感信息泄露,影响企业安全。部分漏洞已修复,但大多数仍需客户自行调整。企业应立即检查配置以防安全威胁。

Salesforce行业云曝出20个安全漏洞,含多个零日漏洞
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
研究人员在OneDrive文件选择器中发现安全缺陷 会授予整个云盘的访问权限

研究人员在OneDrive文件选择器中发现安全缺陷 会授予整个云盘的访问权限
蓝点网
蓝点网 ·
应用安全测试类型

应用安全测试类型
DEV Community
DEV Community ·
微软用于修复安全漏洞而创建的空文件夹inetpub的做法本身也存在安全缺陷

微软用于修复安全漏洞而创建的空文件夹inetpub的做法本身也存在安全缺陷
蓝点网
蓝点网 ·
什么是动态应用安全测试(DAST)?动态应用安全测试指南

什么是动态应用安全测试(DAST)?动态应用安全测试指南
The JetBrains Blog
The JetBrains Blog ·

中国初创公司DeepSeek推出的语言模型DeepSeek R1在性能上与OpenAI的模型相当,但存在严重的安全缺陷,研究表明其对有害提示的攻击成功率高达100%,未能有效阻止有害内容,显示出成本效益与安全性之间的重大折衷。

思科研究发现DeepSeek R1极易受有害提示影响
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

中国初创公司DeepSeek推出的语言模型DeepSeek R1在性能上与OpenAI的o1相当,但存在严重的安全缺陷,攻击成功率高达100%。研究表明,该模型在防止有害提示方面效果不佳,可能导致滥用风险。

思科研究发现DeepSeek R1极易受有害提示影响
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

研究人员发现iPhone的USB-C控制器芯片ACE3存在安全缺陷,但由于攻击方式复杂,实际利用性几乎为零,因此苹果暂时不计划修复。研究展示了通过电磁干扰成功加载修改固件的过程,未来可能有助于发现其他安全问题。

研究人员在iPhone USB-C芯片中发现安全缺陷 但攻击方式太复杂苹果暂时不修复
蓝点网
蓝点网 ·

macOS开发者发现加密DNS查询请求可被绕过,可能是系统安全缺陷,与使用的API有关。Safari和Chrome通过加密DNS发送查询,而Firefox可能会被明文发送DNS请求。问题可能在macOS 14.5版中存在,已报告给苹果。问题涉及第三方软件和苹果,需要等待苹果安全团队审查解决。

适用于Mac的第三方防火墙Little Snitch存在缺陷 会让macOS系统绕过DNS加密
蓝点网
蓝点网 ·
Securing Istio: Addressing Critical Security Vulnerabilities and Best Practices

Securing Istio: Addressing Critical Security Vulnerabilities and Best Practices
云原生
云原生 ·

绿联NAS出现重大安全缺陷,私有云TLS证书和私钥被公开,可能导致用户被中间人劫持窃取账号密码和数据泄露。绿联NAS团队缺乏网络安全常识,将用户和数据暴露在风险中。绿联需要改进公网访问设计。

[更新] 绿联NAS重大安全缺陷:竟把TLS证书和私钥公开 可能会泄露用户私密数据
蓝点网
蓝点网 ·

SDL(安全开发生命周期)是将安全考虑集成在软件开发的每个阶段,以减少漏洞数量并降低安全缺陷的核心理念。SDL通过尽早发现和测试安全漏洞,降低修复成本。微软的SDL模型包括培训、需求、设计、实施、验证、发布和响应阶段。

企业安全之SDL体系初步探索
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

Msfvenom是Metasploit项目推出的工具,可生成各种有效载荷,直接攻击计算机用户。

Metasploit之Msfvenom实战渗透
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
OpenSSL 11月安全发布

OpenSSL 11月安全发布
Node.js Blog
Node.js Blog ·
OpenSSL安全更新可能需要Node.js安全更新

OpenSSL安全更新可能需要Node.js安全更新
Node.js Blog
Node.js Blog ·
👤 个人中心
在公众号发送验证码完成验证