微软图形应用程序接口 Graph API 遭黑客滥用,用于逃避安全软件监测

微软图形应用程序接口 Graph API 遭黑客滥用,用于逃避安全软件监测 安全人员表示,自 2022 年 1 月以来,他们已观察到多个黑客组织使用相关 API“加速入侵过程”,近期就有黑客利用一款内嵌 Graph API 的“BirdyClient”木马伪装成笔记本触控板驱动程序 DLL 程序库组件 vxdiff.dll 进行攻击。

相关推荐

封面图片

Threads应用程序接口将于6月推出

Threads应用程序接口将于6月推出 据 Threads 开发人员 Jesse Chan在社交平台上发表的一篇文章中称,API 将允许用户"通过这些工具进行身份验证、发布帖文和获取他们发布的内容",稍后还将推出更多功能。Instagram 负责人亚当-莫塞里(Adam Mosseri)在去年 10 月的一篇文章中表示,该团队正在开发 API,同时担心 API 会导致Threads上出现更多出版商内容,而不是用户创建的帖子。多年来,用户一直使用 Hootsuite 和 Tweetbot 等第三方应用程序在 Twitter 或 Reddit 等社交媒体网站上发布信息和进行互动。但在过去的几年里,,这些网站通过删除 API 或提高 API 的价格来阻挡第三方应用程序,迫使一些应用程序停止开发。Threads 的几个竞争对手如 Bluesky 和 Mastodon从一开始就支持API。例如,在 X 的 API 变动迫使 Tweetbot 关闭后,其创建者为 Mastodon 开发了一个类似 Tweetbot 的应用程序Ivory。 ... PC版: 手机版:

封面图片

如何破解 Web 应用程序

如何破解 Web 应用程序 这本2021年的新书旨在教会您如何破解 Web 应用程序。您将学习到如何对目标进行侦察、如何识别漏洞、以及如何利用它们。您还将学习到如何找到公司设立的漏洞赏金计划,它们奖励安全专业人员在其 Web 应用程序中发现漏洞。 这本书旨在帮助几乎没有安全经验的初学者学习黑客技术,发现漏洞,并在这个蓬勃发展且利润丰厚的行业中保持竞争力。 您将首先学习如何选择一个程序,写出高质量的报告,并保持行业内的专业关系。然后您将学习如何建立一个网络黑客实验室,并使用代理来捕获流量。在这本书的第三部分,您将探索常见Web漏洞的机制,如XSS、SQL注入和模板注入,并获得关于如何发现它们并绕过常见保护措施的详细建议。您还将学习如何将多个bug连锁起来,使漏洞的影响最大化。 最后,这本书涉及到了黑客入门书籍中很少涉及的高级技术,但这些技术对于入侵Web应用是至关重要的。您将学会如何入侵移动应用程序,审查应用程序的源代码是否存在安全问题,发现API中的漏洞,并使您的黑客攻击过程自动化。在这本书结束时,您将学会必要的工具和技术,成为一名合格的Web黑客,并在漏洞赏金计划中取得成功。

封面图片

开源 API 开发者工具包,让你在不牺牲性能的情况下更快、更安全地构建应用程序

开源 API 开发者工具包,让你在不牺牲性能的情况下更快、更安全地构建应用程序 功能概述 1.用于任意数量 API 的无冲突合并的API 命名空间 2.使用 OpenID Connect (OIDC) 进行身份验证 3.身份验证感知数据获取,使数据获取变得容易 4.授权 - 声明注入,因此您可以轻松构建安全的应用程序 5.授权 - 基于角色的访问控制以保护操作 6.JSON-RPC让 GraphQL 更加安全和高性能 7.TypeSafe Hooks可轻松添加自定义业务逻辑 8.模拟以便于开发 9.本地开发:本地开发,轻松全球部署 10.用于增强安全性的JSON 模式验证 11.数据库到即时 API,可从您最喜欢的数据库即时生成 API 12.生成的客户端为您提供端到端类型安全的出色开发人员体验 13.用自动内容重新验证进行缓存以提高应用程序性能 14.实时订阅,让您的 UI 自动更新 15.开箱即用的CSRF 保护以保护突变 16.基础设施即代码,通过代码轻松配置您的应用程序 17.文件上传到 S3 兼容的存储提供程序以轻松上传文件 18.缓存:安全且高性能的 GraphQL 缓存 19.Cross API JOINs:在单个查询中连接来自多个 API 的数据 ||||| |#API #工具

封面图片

苹果、谷歌、微软支持 "FIDO "技术,以消除网站和应用程序中的密码

苹果、谷歌、微软支持 "FIDO "技术,以消除网站和应用程序中的密码 如果苹果、谷歌和微软按他们的方式行事,很快我们就会认为密码是20世纪的一个过时的老古董。 FIDO联盟(FIDO是 "快速在线身份认证 "的简称)周四表示,它正在与这三家公司合作,开始向网站和应用程序提供无密码技术。与其使用不可靠的密码登录,应用程序和网站可以通过指纹识别器、面部扫描器甚至是你的手机来识别你是谁。 苹果公司平台产品营销高级主管库特-奈特在一份声明中说:与业界合作建立新的、更安全的登录方法,提供更好的保护并消除密码的漏洞,这是我们致力于打造提供最大安全性和透明用户体验的产品的核心,所有这些都是为了保证用户的个人信息安全。 同样,微软公司负责身份项目管理的副总裁亚历克斯-西蒙斯说:任何可行的产品都需要比我们今天使用的产品更安全、更方便、更快捷。他在一份声明中说:"向无密码世界的完全转变将从消费者使之成为其生活的自然组成部分开始。" 谷歌也表示,它对 "世界可以安全地摆脱密码的风险和麻烦 "这一天感到兴奋。 科技公司和FIDO的声明强调了该行业为打击似乎永无止境的黑客攻击所做的努力,这些攻击导致人们的个人信息被盗、金融欺诈以及世界各地的公司和政府出现安全漏洞。 cnet

封面图片

iOS 18 将打击要求访问完整地址簿的应用程序

iOS 18 将打击要求访问完整地址簿的应用程序 这些变化是在苹果全球开发者大会的一次会议上推出的,重点是用户隐私功能。据苹果公司称,当消费者与第三方应用程序共享通讯录时,该应用程序将在一段时间内持续访问他们的通讯录,甚至在添加新的通讯录时也是如此。为了让用户对应用程序能访问和不能访问的通讯录有更多的控制权,权限屏幕分为两个阶段。在第一屏中,用户要确认是否要与应用程序共享联系人。这与现在的提示类似,不过有些应用程序制造商利用联系人共享选项来阻止拒绝共享联系人的用户访问自己的应用程序。例如,去年,照片分享应用Lapse通过强制用户邀请好友加入的机制攀升至 App Store 榜首。在此之前,Poparazzi和Clubhouse等应用都要求用户提供完整的地址簿访问权限这种"增长黑客"手段帮助它们迅速扩大了规模。来自 Zenly(已出售给 Snap)创始人的应用程序Amo ID,也是通过要求用户邀请好友才能加入的方式获得了市场份额。这些技术可能会在初期吸引大量用户使用,但在许多情况下,这种"黑客攻击"并不能推动长期的可持续增长。与此同时,用户为了尝试新的社交体验,不得不完全放弃对通讯录的访问。现在这可能会变得更加困难,因为在第一个屏幕上点击"继续"选择共享通讯录的用户将被带到 iOS 18 的第二个屏幕,在这里他们可以选择是否要与某个应用共享所有联系人。在这里,用户可以点击"允许完全访问",如果用户希望限制访问权限,也可以点击新选项"选择联系人"。更重要的是,iOS 18 并不要求应用开发者为实现这一功能而做任何改动,也不实施任何新的 API。相反,如果开发者的应用要求访问通讯录,这些新屏幕就会自动出现。曾向 Discord 和 Facebook 出售Gas和tbh等成长型黑客社交应用的开发者尼基塔-比尔(Nikita Bier)在 X 上开玩笑说:"世界末日到了。"他还附上了一张苹果宣布新隐私功能的截图。不过,对于那些对安全和隐私更感兴趣的人来说,这一新增功能还是值得欢迎的。安全公司 Mysk在 X 上写道,这一变化将是"数据收集应用程序的不幸消息......"其他人指出,这将有望防止一些应用程序在被拒绝后仍反复要求访问通讯录。现在,用户可以授予它们访问权限,但限制它们可以实际获取哪些联系人。此外,如果开发者的应用可以让用户搜索要添加的联系人,他们也无需申请 iOS 18 的完全访问权限。取而代之的是,新的"联系人访问按钮"可让应用程序显示其无法访问的联系人结果,并在每个联系人姓名旁边显示"添加"按钮。这样,用户只需轻点一下,就可以逐一选择要提供给应用程序的联系人。 ... PC版: 手机版:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人