ZONE.CI 全球网

背景
在现代微服务服务架构转型和企业安全水准越来越高的情况下，传统的安全漏洞越来越少，更多的漏洞集中于越权（IDOR）、并发条件竞争（race condition）这类逻辑漏洞。在 2021 年发布的

第431期你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。
欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢

恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。
受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwareby

工业和信息化部、国家互联网信息办公室等十二部门近日联合公布2022年网络安全技术应用试点示范项目名单，共有99个项目上榜。
各入选项目申报单位要坚持需求导向和技术推动，加大投入力度，持续优化项目质量和

日前，Google Home智能音箱中的一个漏洞允许安装一个后门帐户，该帐户可用于远程控制它，并通过访问麦克风馈送将其变成一个窥探设备。
据悉，一位安全研究员在试验Google Home 迷你扬声器时

近日，国内数字化产业第三方调研与咨询机构数世咨询发布《2022年度中国数字安全能力图谱》（以下简称“能力图谱”），未来智安（XDR SEC）凭借核心产品XDR扩展威胁检测响应系统的产品创新能力和市场发

网络安全分析师警告称，数以千计的Citrix ADC 和网关部署仍然存在安全风险，即便该品牌服务器在此之前已经修复了两个严重的安全漏洞。
第一个漏洞是CVE-2022-27510，已于11月8日修复。

2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会（DSO

29日消息，谷歌Chrome浏览器即将引入一项新的安全措施：阻止下载 HTTP 链接的文件。
据报道，在“Block insecure downloads”实验Flag生效之后，如果用户尝试通过不安全

反间谍法修订草案今天再次提请十三届全国人大常委会第三十八次会议审议。修订草案二审稿进一步加强反间谍宣传教育，提高全民反间谍意识，在立法指导思想和基本原则中增加规定“筑牢国家安全人民防线”，同时增加规定

2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会（DSO

第432期你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。
欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢

乌克兰网络安全官员报告说，国家支持的俄罗斯黑客组织继续减少对乌克兰军事目标的关注，而更多地关注民用基础设施。
乌克兰的主要网络安全防御机构国家特殊通信和信息保护局(SSSCIP)报告称，自俄罗斯于2月

作者：The_Itach1@知道创宇404实验室
日期：2022年12月27日
前言：最近看到了一个github的项目，分析过后觉得里面无论是代码还是界面都很好看，然后开始研究其代码。
这篇文章主要分

谷歌因为定位追踪技术引发诉讼，继去年11月以近4亿元（美元，下同）与40州达成和解协议后，再同意额外支付2950万元，化解首都华盛顿与印第安纳州的官司。
综合《国会山报》及pcmag.com报道，谷歌

里斯本港的网站在成为Lockbit勒索软件团伙声称的勒索软件攻击目标几天后仍然关闭。里斯本港是葡萄牙第三大港口，由于其战略位置，也是欧洲主要港口之一。
据悉，该港口网站于12月25日遭到网络攻击，作为

据日本媒体报道，日本警察厅已成功解密由LockBit勒索软件组织加密的文件，帮助至少3家公司在没有支付赎金的情况下恢复了数据。
反恶意软件供应商 Malwarebytes 最近表示， LockBit

美国海军陆战队司令大卫·伯杰近日表示，战场上新技术的使用促使美国军方重新考虑其作战行动，为未来与技术先进的对手的冲突做准备，其中许多变化已在俄罗斯-乌克兰冲突中得到验证。
伯杰说:“最重要的教训之一是

// 文丨支叶盛
美团安全研究员，主要从事 Linux 内核安全及二进制程序安全等方向的研究，当前负责美团内部操作系统安全、云原生安全等方向的安全建设。
随着云计算的蓬勃发展，云原生的概念于2013年

亚太防务记者援引Fact.MR进行的一项市场研究报道称，到2027年，电子战系统的全球销售额将以平均每年4.5%的速度增长，达到240亿美元。
值得注意的是，将电子战和网络战、信息作战和电子情报的能力

功能介绍
蜻蜓安全工作台是一个为安全工程师所打造的安全工作流编排平台；集成了市面中场景的安全工具，让工程师一键使用，提高工作效率；工程师也可以在平台中发挥自己的创造力，低成本的编排专属于自己的工作剧本

2022年12月24日，360SRC年度白帽颁奖典礼在N世界元宇宙成功举办。本次颁奖礼360SRC大胆尝试，通过数字孪生手段复刻线下场景，搭建了沉浸式的元宇宙会议演播厅进行展示，带来了别开生面的参会体

0x1 Info
Tag:
MSSQL，Privilege Escalation，Kerberos，域渗透，RDP靶场地址：https://yunjing.ichunqiu.com/ranking/s

DarkAngel 是一款全自动白帽漏洞扫描器，从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。
DarkAngel 下载地址：github.com/Bywalks/Dar

一、背景
在甲方做安全的同学可能会有一项代码审计的工作，通常需要从gitlab把代码拉取下来，然后使用代码审计工具进行扫描，然后对结果进行人工确认；
在这个流程中需要做的事情比较繁琐，比如说gitla