关键词:拼音键盘应用、百度、华为、0day漏洞、npm包、WordPress、WP-Automatic插件
1. 重大安全漏洞暴露超过10亿中国键盘应用用户的击键信息
在基于云的拼音键盘应用中发现的安全漏洞可能会被黑客利用,从而泄露用户的击键信息。
这些发现来自Citizen
Lab,该实验室在百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等九家厂商中的八家的应用中发现了漏洞。唯一一家键盘应用没有任何安全缺陷的厂商是华为。
研究人员Jeffrey Knockel、Mona Wang和Zoë Reichert表示,这些漏洞可能会被利用,“完全泄露用户传输中的击键内容”。
此次披露是基于多伦多大学的跨学科实验室之前的研究,该实验室去年8月发现了腾讯搜狗输入法的加密漏洞。
据估计,近10亿用户受到这类漏洞的影响,其中搜狗、百度和科大讯飞的输入法编辑器(IMEs)占据了市场的巨大份额。
来源:<https://thehackernews.com/2024/04/major-security-flaws-expose-
keystrokes.html>
2. 国家支持的黑客利用两个思科0day漏洞进行间谍活动
一场新的恶意软件活动利用了思科网络设备中的两个0day漏洞,以传递定制恶意软件,并促进在目标环境中进行秘密数据收集。
思科Talos将此次活动命名为ArcaneDoor,并将其归因于一个以前未有记录的、由国家支持的高级黑客,该组织被其追踪并命名为UAT4356(微软称之为Storm-1849)。
“UAT4356在此次活动中部署了两个后门程序,即’Line Runner’和’Line
Dancer’,它们被共同用于对目标进行恶意操作,包括配置修改、侦察、网络流量捕获/渗出以及可能的横向移动,”Talos说。
来源:<https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-
two.html>
3. 黑客利用WP-Automatic插件漏洞在WordPress网站上创建管理员账户
黑客正试图积极利用WordPress的ValvePress Automatic插件中的一个关键安全漏洞,该漏洞可能导致网站被接管。
该漏洞被追踪为CVE-2024-27956,其CVSS评分为9.9(最高为10)。它影响3.92.0之前的所有插件版本。此问题已在2024年2月27日发布的3.92.1版本中得到解决,尽管发布说明中并未提及。
WPScan在本周的一份警报中说:“这个漏洞是一个SQL注入(SQLi)漏洞,它构成了严重威胁,因为攻击者可以利用它来获得对网站的未经授权的访问权限,创建管理员级别的用户账户,上传恶意文件,并可能完全控制受影响的网站。”
根据Automattic旗下的公司所述,该问题的根源在于插件的用户身份验证机制,该机制可以通过精心构造的请求轻松绕过,以对数据库执行任意SQL查询。
来源:<https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-
plugin.html>
4. 虚假的npm包被用于诱骗软件开发者安装恶意软件
一场正在进行的社会工程活动正在以工作面试为幌子,通过虚假的npm包诱骗软件开发者下载Python后门程序。
网络安全公司Securonix正在追踪这项名为DEV#POPPER的活动,并将其与朝鲜的黑客联系起来。
安全研究员Den Iuzvyk、Tim Peck和Oleg
Kolesnikov表示:“在这些欺诈性面试中,开发者经常被要求执行一些任务,包括从看似合法的来源(如GitHub)下载和运行软件。这些软件包含恶意的Node
JS有效载荷,一旦执行,就会破坏开发者的系统。”
来源:https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html
5. 利用微软Office七年旧漏洞,乌克兰遭遇网络攻击
网络安全研究人员发现了一场针对乌克兰的定向行动,该行动被发现利用微软Office中一个已存在近七年的漏洞,在受感染的系统上投放Cobalt Strike。
根据Deep
Instinct的信息,此次攻击事件发生在2023年底,起点是一个PowerPoint幻灯片文件(“signal-2023-12-20-160512.ppsx”),其文件名暗示可能已通过Signal即时通讯应用程序共享。
话虽如此,尽管乌克兰计算机应急响应小组(CERT-
UA)过去曾发现两个不同的活动使用此消息传递应用程序作为恶意软件传播媒介,但没有确凿证据表明PPSX文件是以这种方式分发的。
就在上周,该机构披露,乌克兰武装部队正越来越多地成为UAC-0184集团通过消息和约会平台投放恶意软件的目标,这些恶意软件包括HijackLoader(又名GHOSTPULSE和SHADOWLADDER)、XWorm和Remcos
RAT,以及用于从计算机中窃取数据的开源程序,如sigtop和tusc。
来源:https://thehackernews.com/2024/04/ukraine-targeted-in-cyberattack.html
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
936
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
