鑽石舞台

各位 Buffer 周末好，以下是本周「FreeBuf周報」，我們總結推薦了本周的熱點資訊、安全事件、一周好文和省心工具，保證大家不錯過本周的每一個重點！

1、《網絡安全行業投資新風向洞察報告》重磅發布

截至 2021 年底，我國出台共計 200 多部網絡安全相關法規與政策性文件。在政策與市場需求的持續助推下，中國網絡安全產業在近年吸引了大量投資主體參與布局。

2、二十大之網絡安全，聽聽代表們怎麼說

網絡安全作為網絡強國、數字中國的底座，將在未來的發展中承擔托底的重擔，是我國現代化產業體系中不可或缺的部分。

3、提高警惕！有人在GitHub上利用虛假 PoC 漏洞釣魚

萊頓高級計算機科學研究所的研究人員在GitHub上發現了數以千計存在問題的存儲庫，這些存儲庫為各種漏洞提供虛假的概念驗證（PoC），並藉此隱藏傳播惡意軟件。

4、被索要6000萬，這家汽車經銷商堅持拒絕支付！

英國著名汽車經銷商集團Pendragon近期遭遇 LockBit 勒索軟件組織的網絡攻擊，部分數據被竊取，並收到了高達6000萬美元的贖金支付通知。

5、一個隱藏在SQLite數據庫長達22年的漏洞

安全專家Andreas Kellas詳細介紹了2000年10月推出的SQLite數據庫中的一個高嚴重性漏洞，被追蹤為CVE-2022-35737（CVSS評分：7.5）。

1、超市巨頭麥德龍遭網絡攻擊，支付系統中斷

德國零售批發超市集團麥德龍（Metro）被證實遭遇網絡攻擊，其部分基礎設施中斷，線下門店支付系統和線上訂單出現延遲。

2、Hive勒索組織宣稱已攻擊塔塔電力，數據可能外泄

前不久印度最大的電力集團塔塔電力公布遭遇網絡攻擊。10月25日，Hive勒索組織宣稱對此次網絡攻擊負責。

3、蘋果曝嚴重漏洞，可竊聽用戶與Siri對話

據The Hacker News 10月27日消息，在蘋果近期披露的漏洞中包含了名為SiriSpy的 iOS 和 macOS系統漏洞，使具有藍牙訪問權限的應用程序能夠竊聽用戶與 Siri 的對話。

4、數據泄露長達兩年半！國際票務巨頭See Tickets 已承認

據BleepingComputer 10月25日消息，國際票務服務公司 See Tickets 披露了一起數據泄露事件，時間長達兩年半。

5、超2000萬的安裝量，Google Play已成惡意廣告程序的溫床

McAfee的安全研究人員發現，GooglePlay官方商店裡有16個惡意點擊的應用程序，安裝次數超過2000萬次。其中一個名為DxClean的應用程序的安裝次數更是超過500萬次。

1、萌新學習零信任

在內網環境複雜化的今天，我們國家整體的內網安全建設水平（懂得都懂）處於一個正在發展的水平，而零信任不亞於一針"強心劑"有力的支撐了未來我國內網安全體系的發展。並且隨着信息化建設的不斷深入,內網安全問題層出不窮。面對日益繁多的網絡攻擊,傳統網絡防護手段越來越難以支撐。

2、Java代碼審計-XMI注入（XXE）

使用不可信數據來構造XML會導致XML注入漏洞也成稱為XXE漏洞。一個用戶，如果他被允許輸入結構化的XML片段，且輸入的片段未做任何防禦措施，則他可以在XML的數據域中注入XML標籤來改寫目標XML文檔的結構與內容。XML解析器會對注入的標籤進行識別和解釋。

3、年僅 16 歲，入侵微軟等 18 家跨國巨頭，LAPSUS$ 黑客組織「狠瘋狂」

2021 年年末，黑客世界橫空殺出一隻隊伍，入侵巴西衛生部成功」出道」，此後短短四個月內，瘋狂開展網絡攻擊活動，英偉達、三星、沃達豐，育碧、微軟等十八家行業巨頭相繼淪陷。

1、FUD-UUID-Shellcode：一款基於C++的Shellcode注入工具

FUD-UUID-Shellcode是一款功能強大的Shellcode注入工具，該工具基於C++語言開發，並使用了異或XOR加密技術UUID字符串混淆來嘗試繞過Windows Defender。廣大研究人員可以使用該工具測試目標系統的安全性，或研究Windows Defender相關的安全問題。

2、SteaLinG：一款針對社工的開源安全滲透測試框架

SteaLinG是一款功能強大的開源滲透測試框架，該框架專為社會工程學研究人員設計，可以幫助廣大研究人員或組織內的安全專家測試目標設備的安全性。該工具基於Python開發，因此具備良好的跨平台特性。在使用時，我們只需要將其上傳至目標用戶設備並運行SteaLinG即可。

3、如何使用Arsenal快速部署功能強大的Bug Bounty工具

Arsenal是一個功能強大且使用簡單的Shell腳本（Bash），該工具專為漏洞賞金獵人設計，在該工具的幫助下，我們可以輕鬆在自己環境中安裝並部署目前社區中功能最為強大的網絡偵查工具、漏洞掃描工具和其他安全研究工具。與此同時，該工具還可以完成相關依賴組件的自動化安裝，並將所有安全工具存儲在本地設備上。