Aggregator

2023年，约有 78% 的公司使用开源软件，90%的云平台以及区块链项目使用了开源组件进行构建。随着开源软件的广泛使用以及软件供应链安全治理困难，勒索组织有针对性的攻击关键供应商，进而勒索软件供应链下游拥有敏感数据、能够支付高额赎金的组织

Kathleen Moriarty discusses an unexpected LLM misinformation problem: students incorporating non-vetted AI results into their assignments.

Authors: Alex Murillo, Alan Ngo, Abe Schneider, Fae Carlisle Contributors: Nikki Benoit Executive Summary For years, threat actors have been using legitimate software for illegitimate or malicious purposes.  One such software is NetSupport Manager – a remote control application used for remote systems management.  In recent years, however, threat actors have repurposed this software as … Continued

The post NetSupport RAT: The RAT King Returns appeared first on VMware Security Blog.

没时间打理没落的公众号，大家随便逛逛吧

没时间打理没落的公众号，大家随便逛逛吧

Our Cybersecurity Awareness Month may have come to a close at the end of October — but the importance of enhancing cybersecurity and engaging with our international partners to enhance cybersecurity is at the forefront of our minds all year long. Here are some updates on our international work: Conversations have continued with our partners throughout the world on the update to the NIST Cybersecurity Framework (CSF) 2.0 , and NIST hosted its final workshop on September 19 and 20 with in-person and hybrid attendance featuring international participation (via both speakers and panelists). While

本周，云上攻击保持高度的活跃状态，Confluence、GitLab相关漏洞热度持续霸占榜单，"Metabase 远程代码执行"和"Weblogic 未授权命令执行"漏洞新上热榜；在受攻击行业方面，技术服务、游戏、电商等行业持续霸占榜单

必修漏洞，就是必须修复、不可拖延的高危漏洞。

以“激发创新活力、提升发展质量”为主题的第二十五届中国国际高新技术成果交易会在深圳会展中心举行，纽创信安随商用密码展团首次亮相高交会。

Getting

403-forbidden 一般是服务器配置不允许访问该目录或文件

一些技巧

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3

自我颠覆成为读书学习的最高标尺。————Micropoor摘要本文深入探讨了网络安全行业面临的“异化安全”现

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一芯片，控制

本篇内容由eBPF生成，我进行了二次补丁。

最近没啥素材，转贴群友文章充数，非常敷衍。 在 iPhone 和 Apple Silicon 大规模应用 Pointer Authentication Code 后，Android 这一次抢在了前面，在 Pixel 8 Pro 手机上率先支持 ARM Memory Tagging Extension。 https://source.android.com/docs/security/test/memory-safety/arm-mte 这一扩展有望更进一步提升内存安全，在运行时检测一部分（并不是全部）内存生命周期（如 Use After Free）和越界访问的问题，很大程度上可以阻断 0day 攻击。 Google Project Zero 在韩国的 POC2023 会议上发表了“测评”议题 MTE as Tested，并同步发布了对应的博客。 本来手痒也想弄一台回来玩，还是贫穷和理智战胜了好奇。这边售价超过 1k，买回来大概率玩几次就吃灰。省下来的钱足够我坐穷人乐 FlixBus 绕欧洲好几圈了。 群友 twd2 对软硬件协同的安全实现非常感兴趣，斥巨资（！）购入一台试验设备。除了 Sanitizer Test App，还收集了一些 Geekbench 的性能数据。正好转贴过来。 由于图文消息不支持排版，以下附上原文地址，请手动复制浏览器后查看。 https://twd2.me/archives/18383