在攻防两端 关于当黑客在您的系统上肆意妄为时该怎么办的文章很少。即使是有经验的黑客，当他们意识到网络防御者已经抓住了他们，并且

在攻防两端 关于当黑客在您的系统上肆意妄为时该怎么办的文章很少。即使是有经验的黑客，当他们意识到网络防御者已经抓住了他们，并且正在对他们的植入物进行实时分区时，也往往会感到窒息。这本新书将沿着攻击的杀伤链提供提示和技巧，说明黑客在现实冲突中哪里可以占上风，以及防御者如何在这场猫鼠游戏中胜过攻击者。 这本书每章都有两个小节，特别关注进攻方和防守方。它首先向您介绍了对抗性行动和计算机冲突的原则，在这里您将探索欺骗、人性、经济等关于人与人之间冲突的核心原则。此外，您将了解从计划到建立双方都应具备的基础设施和工具的一切。 在这本书中，您将学习到如何通过消失在对手可以探测到的地方来获得对对手的优势。将进一步了解如何混入其中，发现其他行为者的动机和手段，并学会篡改，以阻碍他们探测您的存在的能力。最后，您将学习如何通过先进的研究和深思熟虑地结束一项行动来获得优势。 在本书结束时，您将从攻击者和防御者的双向角度对网络攻击有一个坚实的了解。

GitHub：攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub：攻击者利用盗取的OAuth令牌入侵了数十个组织 GitHub今天透露，一名攻击者正在使用偷来的OAuth用户令牌（发放给Heroku和Travis-CI），从私人仓库下载数据。 自2022年4月12日首次发现这一活动以来，威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序（包括npm）的受害组织中访问并窃取数据。 "这些集成商维护的应用程序被GitHub用户使用，包括GitHub本身" GitHub的首席安全官（CSO）Mike Hanley今天透露。 "我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的，因为GitHub没有以原始的可用格式存储这些令牌。" "我们对威胁行为者的其他行为的分析表明，行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容，以寻找可用于透支其他基础设施的秘密。" GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问，因为攻击者使用了一个被泄露的AWS API密钥。 攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 bleepingcomputer

如何破解 Web 应用程序

如何破解 Web 应用程序 这本2021年的新书旨在教会您如何破解 Web 应用程序。您将学习到如何对目标进行侦察、如何识别漏洞、以及如何利用它们。您还将学习到如何找到公司设立的漏洞赏金计划，它们奖励安全专业人员在其 Web 应用程序中发现漏洞。 这本书旨在帮助几乎没有安全经验的初学者学习黑客技术，发现漏洞，并在这个蓬勃发展且利润丰厚的行业中保持竞争力。 您将首先学习如何选择一个程序，写出高质量的报告，并保持行业内的专业关系。然后您将学习如何建立一个网络黑客实验室，并使用代理来捕获流量。在这本书的第三部分，您将探索常见Web漏洞的机制，如XSS、SQL注入和模板注入，并获得关于如何发现它们并绕过常见保护措施的详细建议。您还将学习如何将多个bug连锁起来，使漏洞的影响最大化。 最后，这本书涉及到了黑客入门书籍中很少涉及的高级技术，但这些技术对于入侵Web应用是至关重要的。您将学会如何入侵移动应用程序，审查应用程序的源代码是否存在安全问题，发现API中的漏洞，并使您的黑客攻击过程自动化。在这本书结束时，您将学会必要的工具和技术，成为一名合格的Web黑客，并在漏洞赏金计划中取得成功。

入侵您自己 黑客是一种实用的、有用的技能。如果以合乎道德的方式使用，黑客可以帮助您恢复忘记的密码、或访问您认为可能永远丢失了的文

入侵您自己 黑客是一种实用的、有用的技能。如果以合乎道德的方式使用，黑客可以帮助您恢复忘记的密码、或访问您认为可能永远丢失了的文件。 学习黑客技术还可以帮助您保护您的个人信息免受在线攻击者的侵害。事实上，在坏人入手之前攻击自己是让您免受网络犯罪侵犯的最佳方法之一 对抗性思考方式。 这本书不鼓励犯罪活动。它旨在教您如何像黑客一样思考，并将这些技能应用于解决问题、网络安全和保持在线安全。 黑客是使用已经存在的工具做一些新的或意想不到的事的人。想想 “生活小窍门”，比如用牙线干净地切一块蛋糕，或者重复使用一个空的薄荷糖盒来存放回形针，等等。人类一直在为身边发现的东西想出新的工具和新的用途。计算机黑客也是类似的。人们一直在用计算机技术做新的和意想不到的事。您可以编写一个小应用程序，将文件从一种程序的格式转换为另一种格式，从而将两个原本不应该一起工作的程序组合在一起。也可以破解网络浏览器或电子表格程序来玩游戏。或者，如果您不小心，其他人可能会通过向您发送携带病毒的电子邮件来入侵您的计算机，让他们可以访问您的文件、密码、甚至网络摄像头。 这本书将帮助您像学习武术一样对待计算机黑客 您将学习拳打脚踢，以及如何阻止拳打脚踢。您将学习如何通过在虚拟实验室中安全地对自己执行相同的黑客攻击来保护自己和他人免于网络攻击。通过使用黑客使用的相同工具和技术，您将了解需要防御的在线威胁类型。 这本书展示了如何攻击和如何防御攻击。每一章都会提升您作为道德黑客的技能水平。前两章包含您可以立即动手执行的技巧，无需任何特殊工具 只需一台普通计算机和 Web 浏览器即可。 良好的网络自卫始于了解网络掠夺者和在线攻击者的危险。您需要学习如何让自己避免成为容易受到攻击的目标。通过更多的练习，您将能够保护自己和他人免受高度复杂的现实世界的攻击。只需对您使用计算机和其他电子设备的方式进行一些关键的改变，您就可以从网络受害者变成网络英雄。试试看？

与中国有关的国家支持的网络攻击者正在通过破坏公共和私人领域的目标积极建立一个大型的攻击基础设施网络。

与中国有关的国家支持的网络攻击者正在通过破坏公共和私人领域的目标积极建立一个大型的攻击基础设施网络。 根据网络安全和基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局的联合警报，攻击者正针对主要电信公司和网络服务提供商，对各种路由器、VPN和其他网络设备、以及网络附加存储（NAS）设备中的已知漏洞进行一系列利用。 根据该警报，这些网络设备随后被用作额外的接入点，用于路由指挥和控制（C2）流量，并作为中点对其他实体进行网络入侵 据称所有这些都是为了窃取敏感信息。 网络攻击者 “通常通过访问被称为跳点的被破坏的服务器来进行入侵，这些跳点来自于许多 ，可以解析到不同的中国互联网服务供应商”，。 在混淆方面，CISA说它已经观察到这些攻击者团体监测网络防御者的账户和行动，根据需要修改他们正在进行的活动以保持不被发现。 这些攻击者还 “经常将其定制的工具集与公开可用的工具混合在一起，特别是利用网络环境中的原生工具，通过网络噪音或常规活动来掩盖其恶意活动。” #ThreatIntelligence

Hidden VNC 工具使攻击者能够完全访问 Mac

Hidden VNC 工具使攻击者能够完全访问 Mac 网络安全公司 Guardz 发现俄罗斯黑客在出售一种名为 Hidden VNC 的工具，该工具专门设计用于让攻击者能够完全访问Mac ，旨在窃取个人数据和登录信息。 这款工具 HVNC (Hidden Virtual Network Computer) 目前正在暗网上出售，为了表明该工具如所声称的那样工作，黑客已在托管账户中存入 10 万美元。这款工具面向希望访问中小型企业所使用的Mac计算机的攻击者进行市场推广，以窃取登录凭证。 HVNC是标准 VNC 的变种，用于远程控制你的 Mac，与标准 VNC 不同，HVNC 无需你授予权限，你也无法察觉它在做什么。它会创建一个对你完全不可见的完全独立的用户会话。 Guardz 发现，HVNC 工具非常复杂。它以隐身模式运行，这意味着大多数用于保护 Mac 的工具都无法检测到它，而且它具有持久性，因此无法通过重启 Mac 来阻止和删除它。 保护自己免受此类威胁的关键之一是将 Mac 更新到机器可用的最新 macOS 版本。例如，该恶意软件仅适用于 macOS Ventura 13.2 及以下版本的 Mac，而当前的版本是 13.4.1。