最新威胁

Twitter双重验证争议

Twitter本周面临进一步批评，埃隆·马斯克的社交平台宣布短信双重验证（2FA）将仅对付费用户开放。该平台历史上曾向所有绑定手机号的用户提供2FA功能，但未付费用户将失去此安全选项，引发网络强烈反弹。不过用户仍可使用Google Authenticator等第三方认证应用。

GoDaddy遭长期攻击

知名域名注册商GoDaddy披露遭遇持续近三年的网络攻击活动。该公司在向美国证券交易委员会提交的文件中证实，2022年12月的入侵事件与2020年3月的攻击相关联，当时攻击者窃取了约2.8万主机客户及部分员工凭证。GoDaddy认为这些攻击与2021年WordPress服务入侵同属高级威胁组织的多年计划。

漏洞动态

高危漏洞汇总

• FortiNAC（严重）：未授权远程代码执行漏洞，已於2月16日修补
• Node.js（中危）：fetch API存在CRLF注入风险，可能导致HTTP响应拆分
• Node.js（高危）：process.mainModule.require()可能绕过权限策略
• Kardex MLOG：工业Web界面模板注入导致远程代码执行
• Apache Kerby：LdapIdentityBackend组件存在LDAP注入漏洞

安全研究与工具

XSS Hunter升级端到端加密

在用户隐私担忧后，Truffle Security为XSS Hunter分支新增可选端到端加密功能。该工具此前因收集用户漏洞统计数据引发争议，现通过加密机制增强数据保护。

研究进展

• PortSwigger研究员在AppSec Dublin演示无拒绝服务的服务端原型污染检测技术
• CyberXplore团队披露通过一个月渗透测试发现GitHub六个漏洞
• 工程师Matt Frisbie开发恶意Chrome扩展演示数据窃取风险
• 比利时成为首个实施道德黑客安全港框架的欧洲国家

漏洞赏金动态

• 研究员Omar Hashem详细记录HubSpot账户接管过程中的失败尝试
• 匿名研究员"infiltrateops"获苹果公司丰厚赏金并称赞其响应效率
• Google公布2022年漏洞奖励计划共修复2900余个漏洞

新开源工具

• Legitify：新增GPT驱动的GitHub/GitLab资产误配置扫描
• GuardDog：扩展支持npm检测，新增启发式规则并优化CI集成

上一期回顾
反序列化Web安全综述：KeePass回应漏洞报告、OpenSSL发布补丁、Reddit承认钓鱼攻击事件