FreeBuf互联网安全新媒体平台

ISC.AI 2024通过一系列前瞻对话、技术研讨、成果展示和创新孵化活动，对当前安全形势进行了深刻洞察。

站在研发视角，去看待如何针对认证进行安全开发，或者说如何选取合适的认证场景来确保应用系统的安全认证。

MuddyWater 频繁更新恶意样本，塞讯验证建议尽快验证安全防御体系是否能有效应对攻击，做好主动防御工作。

漏洞打点攻击作为一种高效隐蔽的攻击手段，严重威胁着企业的信息安全。

近日，一些网友注意到，申领和使用“网号”“网证”的应用“国家网络身份认证 App（试点版）”已在多个应用商店上线。

BingoMod目前正在积极开发中，其开发者专注于添加代码混淆和各种逃避机制，以降低被检测率。

DigiCert 警告称，由于域控制验证 （DCV） 的不合规问题，该公司正大规模撤销已经发放的 SSL/TLS 证书，数量超过8万个。

简单来说就是，网络安全防护反过来把业务干宕机了。

通过分析 CVE-2022-24481 的利用案例，我们揭示了如何利用类型混淆问题来绕过微软的安全补丁，最终实现了权限提升。

Aardvark是一个针对多账户AWS IAM访问与身份管理的API框架和缓存层，该工具可以在一个平台下轻松管理多个AWS账号的IAM安全。

本次调研面向广大国内安全厂商，由厂商自主申报并填写信息征集表。

这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取。

2024年巴黎奥运会的应用程序正在追踪用户、提取私人数据，并将其出售给广告商和大型科技公司。

2024年初，ThreatLabz发现一名受害者向 Dark Angels支付了7500万美元，高于目前所有已知的赎金金额。

本文介绍了一种新型低容量应用层 DDoS 攻击，称为同步毫瓶颈攻击SyncM，专门针对微服务。实验表明SyncM可以实现各种性能损害，同时不被最先进的DDoS防御工具检测到。

早就听说去年被表哥们横扫情报宝箱，今年挖蛙带着更easy的周周奖励来啦！

欧洲银行业在抵御网络攻击方面已经做好了高水平的准备，但在恢复能力方面仍有“改进空间”。

什么是攻击面分析？为什么要做攻击面分析？攻击面分析这个概念有很多师傅研究过，也有很多公司已经落地，攻击面分析很大，大到从资产管理、供应链管理、数据管理等方方面面，涵盖内部攻击面与外部攻击面，包括主机层、网络层、应用层等各个层级，这里我想以开发的视角浅谈，以数据流转全过程去分析应用程序的攻击面管理。从我个人来看，攻击面分析是关于映射出需要审查和测试安全漏洞的系统部分。攻击面分析的目的是理解应用程序中

“搞信息安全的，要想明白后，再跳槽。跟风瞎起哄，最终受伤的只能是自己。”

同样的漏洞组合可能在互联网大范围内潜伏，这使得更多的在线服务可能面临同样的问题。