谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。TAG ClementLecigne在报告中指出，这些供应商通过扩散具有攻击性的工具，来武装那些无法在内部开发这些能力的政府及组织。根据国家或国际法律，虽然部分监控技术的使用是合法的，但人们经常发现，有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。这两次恶意活动，第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送短链接。点击后，这些URL将收件人重定向

谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。TAG ClementLecigne在报告中指出，这些供应商通过扩散具有攻击性的工具，来武装那些无法在内部开发这些能力的政府及组织。根据国家或国际法律，虽然部分监控技术的使用是合法的，但人们经常发现，有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。这两次恶意活动，第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送短链接。点击后，这些URL将收件人重定向

微软于去年11月发布紧急带外更新（OOB），重点修复存在于Win10/Win11系统WindowsKerberos中的漏洞。在去年11月的第1阶段、去年12月的第2阶段之后，微软宣布在4月11日的补丁星期二活动日中，将会发布修复该漏洞的第3阶段补丁。Kerberos认证是一种计算机网络安全协议，用于验证两个或多个受信任的主机在不受信任的网络（如互联网）上的服务请求。本次Win10、Win11设备遇到的Kerberos认证问题是在安装今年11月补丁星期二活动日发布的累积更新之后出现的，导致域用户登录失败、域用户的远程桌面连接失败，以及打印可能需要域用户认证。IT之家翻译官方说明如下：在2023年

微软于去年11月发布紧急带外更新（OOB），重点修复存在于Win10/Win11系统WindowsKerberos中的漏洞。在去年11月的第1阶段、去年12月的第2阶段之后，微软宣布在4月11日的补丁星期二活动日中，将会发布修复该漏洞的第3阶段补丁。Kerberos认证是一种计算机网络安全协议，用于验证两个或多个受信任的主机在不受信任的网络（如互联网）上的服务请求。本次Win10、Win11设备遇到的Kerberos认证问题是在安装今年11月补丁星期二活动日发布的累积更新之后出现的，导致域用户登录失败、域用户的远程桌面连接失败，以及打印可能需要域用户认证。IT之家翻译官方说明如下：在2023年

摘要：SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。本文分享自华为云社区《GaussDB(DWS)安全测试之SSRF漏洞》，作者：ACBD。1.什么是SSRF漏洞SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。一般情况下，SSRF攻击的目标是外网无法访问的内部系统，因为请求是服务端发起的，所以服务端就能请求到与其网络通畅而与外网隔离的内网系统。SSRF漏洞的形

摘要：SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。本文分享自华为云社区《GaussDB(DWS)安全测试之SSRF漏洞》，作者：ACBD。1.什么是SSRF漏洞SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。一般情况下，SSRF攻击的目标是外网无法访问的内部系统，因为请求是服务端发起的，所以服务端就能请求到与其网络通畅而与外网隔离的内网系统。SSRF漏洞的形

摘要：SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。本文分享自华为云社区《GaussDB(DWS)安全测试之SSRF漏洞》，作者：ACBD。1.什么是SSRF漏洞SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。一般情况下，SSRF攻击的目标是外网无法访问的内部系统，因为请求是服务端发起的，所以服务端就能请求到与其网络通畅而与外网隔离的内网系统。SSRF漏洞的形

摘要：SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。本文分享自华为云社区《GaussDB(DWS)安全测试之SSRF漏洞》，作者：ACBD。1.什么是SSRF漏洞SSRF(Server-SideRequestForgery，服务器端请求伪造)是指由攻击者构造请求，然后利用服务器的漏洞以服务端的身份向内网发送请求对内网发起攻击。一般情况下，SSRF攻击的目标是外网无法访问的内部系统，因为请求是服务端发起的，所以服务端就能请求到与其网络通畅而与外网隔离的内网系统。SSRF漏洞的形

PfSensepfBlockerNG未授权RCE漏洞（CVE-2022-31814）概述PfSense系统的插件pfBlockerNG引起的未授权RCE漏洞pfSense是一个基于FreeBSD操作系统开发的防火墙和路由器软件FreeBSD是一种类UNIX操作系统pfBlockerNG是一个pfSense的插件（默认不安装），提供了广告、恶意内容和地理拦截功能。版本pfSense2.6.0pfBlockerNG漏洞代码分析位置/usr/local/www/pfblockerng/www/index.php有如下代码：//QueryDNSBL(邮件黑名单)AliasforDomainList.$

PfSensepfBlockerNG未授权RCE漏洞（CVE-2022-31814）概述PfSense系统的插件pfBlockerNG引起的未授权RCE漏洞pfSense是一个基于FreeBSD操作系统开发的防火墙和路由器软件FreeBSD是一种类UNIX操作系统pfBlockerNG是一个pfSense的插件（默认不安装），提供了广告、恶意内容和地理拦截功能。版本pfSense2.6.0pfBlockerNG漏洞代码分析位置/usr/local/www/pfblockerng/www/index.php有如下代码：//QueryDNSBL(邮件黑名单)AliasforDomainList.$