网络安全半月谈:Twitter 2FA争议、GoDaddy多年攻击活动与XSS Hunter端到端加密升级
作者:Jessica Haworth-Elsayed
更新时间:2023年2月27日 15:32 UTC
重点事件
Twitter双重认证争议
埃隆·马斯克的社交平台宣布将短信双因素认证(2FA)仅限于付费用户使用,引发广泛批评。虽然免费用户仍可通过Google Authenticator等第三方认证应用使用2FA,但这一变动仍招致非付费用户的强烈反对。
GoDaddy多年攻击活动
知名域名注册商GoDaddy披露遭遇持续近三年的高级威胁攻击:
- 2022年12月:少量客户网站被间歇性重定向
- 2020年3月:攻击者窃取约28,000个主机账户凭证及少量员工凭证
- 2021年:WordPress托管服务遭入侵 该公司确认这些事件属于同一高级威胁组织的多年持续攻击活动。
XSS Hunter新增端到端加密
在用户隐私担忧的推动下,Truffle Security为其分叉的XSS Hunter工具新增可选端到端加密功能。此前该团队因检查用户敏感数据而受到批评,现已通过加密方案解决隐私问题。
漏洞速递
- FortiNAC:临界/未认证RCE(文件路径外部控制)· 2月16日修补披露
- Node.js:中危/CRLF注入(fetch API主机头注入)· 2月16日修补披露
- Node.js:高危/权限策略绕过(process.mainModule.require()未授权访问)· 2月16日修补披露
- Kardex MLOG:SSTI转RCE(工业Web接口净化问题)· 1月24日修补,2月7日披露
- Apache Kerby:LDAP注入(LdapIdentityBackend漏洞)· 2月20日修补披露
研究与攻击技术
- PortSwigger研究员在AppSec Dublin会议上演示无DoS的服务器端原型污染检测
- CyberXplore团队详述通过一个月GitHub安全测试发现的6个漏洞
- 工程师Matt Frisbie构建恶意Chrome扩展演示数据窃取风险
- 安全研究员分享苹果漏洞赏金计划参与经验
漏洞赏金与披露
- 研究员Omar Hashem完整接管HubSpot账户的漏洞利用过程分析
- 研究员“infiltrateops”获苹果漏洞赏金并赞赏其安全团队响应
- Google公布2022年漏洞奖励计划共修复2,900多个漏洞
开源安全工具更新
- Legitify:新增GPT配置错误扫描功能,支持GitHub/GitLab资产安全检测
- GuardDog:新增npm支持、启发式检测优化和CI集成简化,专注Python恶意包识别
*PortSwigger为The Daily Swig母公司