严重 | VMware Workspace ONE Access等产品中存在多个安全漏洞

本文来源:0x01漏洞状态漏洞细节漏洞POC漏洞EXP在野利用未知未知未知未知0x02漏洞描述WorkspaceONEAccess是VMware公司开发的一款智能驱动型数字化工作空间平台，通过WorkspaceONEAccess能够随时随地在任意设备上轻松、安全地交付和管理任意应用...

网络安全培训

查看全文 freebuf 2022-05-20 0 access信息安全网络安全漏洞

智能汽车曝出重大漏洞，黑客10秒开走特斯拉

本文来源:据Bleeping Computer消息，NCC集团的安全研究人员近日已成功攻破特斯拉无钥匙系统，在中继通道建立起来后，整个攻击过程只需要不到10秒钟即可打开车门，并且可以无限重复攻击。研究人员分别在Model3和ModelY上进行测试，结果全部被攻破，攻击者可以解锁和操作汽车。202...

黑客培训

查看全文 freebuf 2022-05-20 0 黑客电动汽车解锁漏洞

2022年网络安全十大攻击媒介

本文来源:近日，美国、加拿大、新西兰、荷兰和英国等多个国家网络安全政府机构发布联合安全公告，揭示了网络攻击者最常利用的十大攻击媒介。公告还提供了缓解这些经常被利用的弱安全控制、糟糕的安全配置和不良做法的指南。NSA网络空间安全总监RobJoyce在推文中点评道：“先别管那些时髦的零日漏洞，赶紧把弱...

黑客培训

查看全文 freebuf 2022-05-20 0 网络攻击网络安全系统配置媒介策略信息安全访问控制漏洞

企业加强客户隐私数据保护的12条建议

本文来源:收集客户数据可以帮助企业改进产品和服务。然而，当消费者发现他们的数据被大量泄漏并被用于非法牟利活动时，就会变得越来越谨慎，不再愿意将个人隐私数据提交给企业。企业只有制定公布并有效实施稳健全面的数据安全政策，才能赢得消费者的信任。根据近年来个人隐私信息保护领域的最佳实践，本文收集整理了能够有...

网络安全培训

查看全文 freebuf 2022-05-20 0 信息安全网络安全

海运网络安全：脆弱的海运供应链对全球经济的威胁

本文来源:在某个阶段，大约90%到95%的所有运输货物都是通过海上运输的。这使得全球海运业成为世界上最大和最重要的单一供应链。针对海上供应链的成功网络攻击将有可能损害个别公司、国家财政甚至全球经济。攻击向量海事部门包括港口和使用港口的船只。船舶范围从小型货运船到运输石油的超级油轮，运输超过2...

网络安全培训

查看全文 freebuf 2022-05-20 0

金融机构有效开展API安全建设的需求与实践

本文来源:随着金融行业数字化转型的深入，三类AP‍I漏洞在金融机构的离柜交易、移动支付、线上服务等业务中变得越来越高频多元。API作为驱动开放共享的核心能力，已深度应用于金融行业；与此同时，其巨大的流量和访问频率也让数据安全风险面变得更广、影响更大VMware最新的一份安全报告（ModernBan...

• 
• 
• 

查看全文 freebuf 2022-05-20 0 金融金融机构apiapi标准

网络安全超越云计算成最热门IT技能

本文来源:根据DevOps研究所最新发布的报告《提升IT技能2022》，网络安全在热门IT技能榜中的排名大幅提升至榜首，92%的受访企业IT技术人员认为网络安全技能是他们团队最重要的技术能力，他们认为安全能力对其团队履行职责“至关重要”或“重要”。报告对全球120个国家/地区的2476名应用开发相关...

黑客培训

查看全文 freebuf 2022-05-20 0

浅析xml之xinclude xslt

本文来源:前言最近依旧在研究xml及其相关安全问题，前一篇文章已经提及了较为大众且CTF中常见的xml攻击方式https://www.anquanke.com/post/id/155328这里再提两个较为小众的攻击方式（此处小众是指CTF比赛中不常见）Xinclude什么是xinclude顾名思义...

• 
• 
• 

查看全文 freebuf 2022-05-19 0 xml语言xslxml解析selectdom

朝鲜黑客冒充自由职业者从内部打入公司

本文来源:1、朝鲜黑客冒充自由职业者从内部打入公司美国政府警告科技公司，朝鲜正派遣大量黑客冒充自由职业者应聘科技公司，充当内鬼以图谋不轨。美国国务院、美国财政部和联邦调查局联合发布声明，要求科技公司严加调查雇员血统，认为朝鲜员工会利用员工身份窃取公司机密信息，甚至辅助朝鲜政府完成黑客行动。在当前远程...

• 
• 
• 

查看全文 freebuf 2022-05-19 0 自由职业者网络安全

实践中的越权漏洞总结

本文来源:前言从狭义上讲越权访问，是攻击者在获得低权限用户的账户后，可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的高权限功能。这类漏洞往往很难通过工具进行自动化检测，属于逻辑漏洞中的一种，目前存在着两种越权操作类型，如下图所示：横向越权：攻击者尝试访问与他拥有相同权限的用户的资源示例：购...

• 
• 
• 

查看全文 freebuf 2022-05-19 0 越权漏洞