反序列化网络安全综述:Twitter 2FA争议、GoDaddy多年攻击活动及XSS Hunter端到端加密

本文综述了近期网络安全事件,包括Twitter取消免费短信2FA引发争议、GoDaddy披露持续近三年的网络攻击活动,以及XSS Hunter工具新增端到端加密功能。同时涵盖多个Web漏洞细节、研究技术及开源安全工具更新。

反序列化网络安全综述:Twitter 2FA争议、GoDaddy多年攻击活动及XSS Hunter端到端加密

Jessica Haworth-Elsayed
2023年2月24日 13:09 UTC
更新:2023年2月27日 15:32 UTC

漏洞 | 研究 | 漏洞赏金

这是您每两周一次的AppSec漏洞、新黑客技术和其他网络安全新闻汇总。

Twitter本周面临进一步批评,因为埃隆·马斯克的社交网络平台宣布,基于短信的双因素认证(2FA)将仅对付费客户开放。该社交媒体网站历史上向所有用户提供双因素认证,只要用户将手机号码连接到账户即可。然而,本周用户被告知,未付费验证的用户将不再享有此安全选项。当然,这在网上引发了巨大反弹,尤其是在大多数非付费账户用户中。不过值得注意的是,用户仍可使用第三方认证应用(如Google Authenticator)进行2FA。

想要直接收件箱获取最新Web安全新闻?在此注册我们的新闻通讯。

此外,网络托管提供商GoDaddy宣布,它已成为网络攻击的受害者……而这是持续近三年活动的一部分。该公司在一份声明中宣布,有证据表明入侵发生在2022年12月,当时“少量客户”抱怨其网站被间歇性重定向。在美国证券交易委员会的一份文件中,这家美国域名注册商还透露,有证据表明此次攻击与2020年3月的早期事件有关,当时攻击者“入侵了约28,000名托管客户的托管账户登录凭证以及我们少量人员的登录凭证”。GoDaddy表示,相信这些攻击,连同2021年其托管WordPress服务的泄露,“是一个复杂威胁行为者团体多年活动的一部分”。

背景 Truffle Security重新推出XSS Hunter工具,新增功能

最后,新近重新出现的工具XSS Hunter的维护者宣布,在隐私意识用户的反弹后,其分支版本引入了可选的端到端(e2e)加密。Truffle Security在原始创建者Matthew Bryant弃用后推出了该开源实用程序的新分支,本月早些时候因检查用户生成的潜在敏感数据而受到批评,此前他们分享了关于发现漏洞的匿名统计数据。据The Daily Swig报道,用户现已得到保证,e2e加密已添加到分支版本中,Truffle Security的创始人发表了声明。

我们还最近报道,比利时成为第一个采用国家全面安全港框架以支持道德黑客的欧洲国家,以及Frans Rosén如何凭借其研究“在登录OAuth流程中使用脏舞蹈进行账户劫持”登上PortSwigger的2022年十大Web黑客技术榜首。

您可以通过访问The Daily Swig主页来了解我们最近的全面新闻覆盖。

以下是过去两周引起我们注意的更多Web安全故事和其他网络安全新闻:

Web漏洞

  • FortiNAC / 严重 / 未认证RCE:某些Fortinet FortiNAC版本中的文件名或路径外部控制允许攻击者执行未授权代码 / 于2月16日修补和披露
  • Node.js / 中危 / CRLF注入:Node.js中的fetch API未阻止主机头中的CRLF注入,可能允许HTTP响应拆分和HTTP头注入等攻击 / 于2月16日修补和披露
  • Node.js / 高危 / 权限策略绕过:未经授权的模块可能通过process.mainModule.require()访问 / 于2月16日修补和披露
  • Kardex MLOG / 严重性待定 / RCE:由于工业Web界面上的清理问题,SSTI导致RCE / 于1月24日修补,2月7日披露
  • Apache Kerby / LDAP注入:LdapIdentityBackend中存在漏洞 / 于2月20日修补和披露

研究与攻击技术

  • PortSwigger*的Gareth Heyes在本月早些期的AppSec都柏林会议上演示了如何在不导致拒绝服务的情况下检测服务器端原型污染。
  • CyberXplore的研究人员详细介绍了他们如何黑客攻击GitHub整整一个月,结果发现了六个漏洞,详细内容见这篇博客文章。
  • 软件工程师Matt Frisbie构建了一个故意恶意的Google Chrome扩展,以窃取尽可能多的数据,演示用户如果不小心安装可能暴露自己的内容。
  • 一名安全研究员赞扬了在Apple漏洞赏金计划上进行黑客攻击的优点。

漏洞赏金/漏洞披露

  • 安全研究员Omar Hashem的一篇详细文章,他完全接管了一个HubSpot账户,详细介绍了他在利用路径上的失败。研究本质上是关于试验和错误,但网上分享的写-up很少谈论未奏效的事情。
  • 一名自称“infiltrateops”的研究员分享了他们如何从Apple获得可观赏金并赞扬其安全团队响应的细节。
  • Google发布了2022年其漏洞奖励计划中发现的所有漏洞的回顾,揭示仅在那一年就修复了2,900多个问题。

新开源安全工具

  • Legitify,一个用于检测和修复GitHub和GitLab资产安全问题的工具,添加了基于GPT的错误配置扫描支持。
  • GuardDog,一个使用Semgrep和包元数据分析识别恶意Python包的工具,已更新以提供npm支持、新启发式方法和更轻松的CI集成。

*PortSwigger是The Daily Swig的母公司。

上一期 反序列化网络安全综述:KeePass驳回“漏洞”报告,OpenSSL获修补,Reddit承认钓鱼攻击

漏洞 | 研究 | 漏洞赏金 | 反序列化 | VDP | 开源软件 | 行业新闻 | 黑客新闻 | 黑客技术 | 加密 | 社交媒体 | Google | 核心

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次