微软图形应用程序接口 Graph API 遭黑客滥用,用于逃避安全软件监测

微软图形应用程序接口 Graph API 遭黑客滥用,用于逃避安全软件监测 安全人员表示,自 2022 年 1 月以来,他们已观察到多个黑客组织使用相关 API“加速入侵过程”,近期就有黑客利用一款内嵌 Graph API 的“BirdyClient”木马伪装成笔记本触控板驱动程序 DLL 程序库组件 vxdiff.dll 进行攻击。

相关推荐

封面图片

Threads应用程序接口将于6月推出

Threads应用程序接口将于6月推出 据 Threads 开发人员 Jesse Chan在社交平台上发表的一篇文章中称,API 将允许用户"通过这些工具进行身份验证、发布帖文和获取他们发布的内容",稍后还将推出更多功能。Instagram 负责人亚当-莫塞里(Adam Mosseri)在去年 10 月的一篇文章中表示,该团队正在开发 API,同时担心 API 会导致Threads上出现更多出版商内容,而不是用户创建的帖子。多年来,用户一直使用 Hootsuite 和 Tweetbot 等第三方应用程序在 Twitter 或 Reddit 等社交媒体网站上发布信息和进行互动。但在过去的几年里,,这些网站通过删除 API 或提高 API 的价格来阻挡第三方应用程序,迫使一些应用程序停止开发。Threads 的几个竞争对手如 Bluesky 和 Mastodon从一开始就支持API。例如,在 X 的 API 变动迫使 Tweetbot 关闭后,其创建者为 Mastodon 开发了一个类似 Tweetbot 的应用程序Ivory。 ... PC版: 手机版:

封面图片

开源 API 开发者工具包,让你在不牺牲性能的情况下更快、更安全地构建应用程序

开源 API 开发者工具包,让你在不牺牲性能的情况下更快、更安全地构建应用程序 功能概述 1.用于任意数量 API 的无冲突合并的API 命名空间 2.使用 OpenID Connect (OIDC) 进行身份验证 3.身份验证感知数据获取,使数据获取变得容易 4.授权 - 声明注入,因此您可以轻松构建安全的应用程序 5.授权 - 基于角色的访问控制以保护操作 6.JSON-RPC让 GraphQL 更加安全和高性能 7.TypeSafe Hooks可轻松添加自定义业务逻辑 8.模拟以便于开发 9.本地开发:本地开发,轻松全球部署 10.用于增强安全性的JSON 模式验证 11.数据库到即时 API,可从您最喜欢的数据库即时生成 API 12.生成的客户端为您提供端到端类型安全的出色开发人员体验 13.用自动内容重新验证进行缓存以提高应用程序性能 14.实时订阅,让您的 UI 自动更新 15.开箱即用的CSRF 保护以保护突变 16.基础设施即代码,通过代码轻松配置您的应用程序 17.文件上传到 S3 兼容的存储提供程序以轻松上传文件 18.缓存:安全且高性能的 GraphQL 缓存 19.Cross API JOINs:在单个查询中连接来自多个 API 的数据 ||||| |#API #工具

封面图片

苹果、谷歌、微软支持 "FIDO "技术,以消除网站和应用程序中的密码

苹果、谷歌、微软支持 "FIDO "技术,以消除网站和应用程序中的密码 如果苹果、谷歌和微软按他们的方式行事,很快我们就会认为密码是20世纪的一个过时的老古董。 FIDO联盟(FIDO是 "快速在线身份认证 "的简称)周四表示,它正在与这三家公司合作,开始向网站和应用程序提供无密码技术。与其使用不可靠的密码登录,应用程序和网站可以通过指纹识别器、面部扫描器甚至是你的手机来识别你是谁。 苹果公司平台产品营销高级主管库特-奈特在一份声明中说:与业界合作建立新的、更安全的登录方法,提供更好的保护并消除密码的漏洞,这是我们致力于打造提供最大安全性和透明用户体验的产品的核心,所有这些都是为了保证用户的个人信息安全。 同样,微软公司负责身份项目管理的副总裁亚历克斯-西蒙斯说:任何可行的产品都需要比我们今天使用的产品更安全、更方便、更快捷。他在一份声明中说:"向无密码世界的完全转变将从消费者使之成为其生活的自然组成部分开始。" 谷歌也表示,它对 "世界可以安全地摆脱密码的风险和麻烦 "这一天感到兴奋。 科技公司和FIDO的声明强调了该行业为打击似乎永无止境的黑客攻击所做的努力,这些攻击导致人们的个人信息被盗、金融欺诈以及世界各地的公司和政府出现安全漏洞。 cnet

封面图片

YouTuber展示如何将"数千款应用程序"带回到 Windows 95 时代

YouTuber展示如何将"数千款应用程序"带回到 Windows 95 时代 直到 Windows 98 出现时才首次有了这个概念,因此与 Windows 95 系统并不兼容。因此,实验的第一个重要部分就是反向移植.NET,使其与 Windows 95 兼容。在这方面,用于在 Windows 98 上运行现代应用程序的开源兼容层 KernelEx 并没有起到多大作用。另一个问题是缺少 DLL 文件,即使使用转储工具移植了所有必要的也无法运行。经过进一步调查,发现一个名为"ndphlpr"的传统 Windows 驱动程序是罪魁祸首,因为它是 .NET 的一个必要组件,在旧系统运行时会导致 .NET 崩溃,尽管它在 Windows 98 中似乎已经过时。此外,也没有办法绕过这个驱动程序。这时,YouTuber 不得不使用 WinDbg 工具来帮助"调试".NET Framework 中的问题,最后,故障排除终于有了回报,因为他发现了一个与某些点击功能缺失的 Windows API 有关的代码片段。F20F 10 44 24 08F205 2CCO虽然我们在这里说得很轻松,但实际上并非如此,因为当时还没有 WinDbg,这意味着必须克服几个兼容性问题。解码后发现,问题是由于 user32.dll 库中缺少"NotifyWinEvent"造成的,而 SSE2 在代码中混淆了一条指令,使得问题变得更加复杂。不管怎样,MattKC 尝试对 SSE2 进行了修补,但仍然没有解决问题。最后,这位 YouTuber 手工制作了一种方法,在可见窗口中显示错误信息,从而修复了所有剩余的 DLL 兼容性怪癖。他的坚持终于得到了回报,揭示了遗留代码的秘密,证明了即使是几十年前的系统也可以超越其极限;这的确是一项相当了不起的成就。这篇文章简要总结了所取得的成果,而上面的完整视频也非常值得一看。 ... PC版: 手机版:

封面图片

iOS 18 将打击要求访问完整地址簿的应用程序

iOS 18 将打击要求访问完整地址簿的应用程序 这些变化是在苹果全球开发者大会的一次会议上推出的,重点是用户隐私功能。据苹果公司称,当消费者与第三方应用程序共享通讯录时,该应用程序将在一段时间内持续访问他们的通讯录,甚至在添加新的通讯录时也是如此。为了让用户对应用程序能访问和不能访问的通讯录有更多的控制权,权限屏幕分为两个阶段。在第一屏中,用户要确认是否要与应用程序共享联系人。这与现在的提示类似,不过有些应用程序制造商利用联系人共享选项来阻止拒绝共享联系人的用户访问自己的应用程序。例如,去年,照片分享应用Lapse通过强制用户邀请好友加入的机制攀升至 App Store 榜首。在此之前,Poparazzi和Clubhouse等应用都要求用户提供完整的地址簿访问权限这种"增长黑客"手段帮助它们迅速扩大了规模。来自 Zenly(已出售给 Snap)创始人的应用程序Amo ID,也是通过要求用户邀请好友才能加入的方式获得了市场份额。这些技术可能会在初期吸引大量用户使用,但在许多情况下,这种"黑客攻击"并不能推动长期的可持续增长。与此同时,用户为了尝试新的社交体验,不得不完全放弃对通讯录的访问。现在这可能会变得更加困难,因为在第一个屏幕上点击"继续"选择共享通讯录的用户将被带到 iOS 18 的第二个屏幕,在这里他们可以选择是否要与某个应用共享所有联系人。在这里,用户可以点击"允许完全访问",如果用户希望限制访问权限,也可以点击新选项"选择联系人"。更重要的是,iOS 18 并不要求应用开发者为实现这一功能而做任何改动,也不实施任何新的 API。相反,如果开发者的应用要求访问通讯录,这些新屏幕就会自动出现。曾向 Discord 和 Facebook 出售Gas和tbh等成长型黑客社交应用的开发者尼基塔-比尔(Nikita Bier)在 X 上开玩笑说:"世界末日到了。"他还附上了一张苹果宣布新隐私功能的截图。不过,对于那些对安全和隐私更感兴趣的人来说,这一新增功能还是值得欢迎的。安全公司 Mysk在 X 上写道,这一变化将是"数据收集应用程序的不幸消息......"其他人指出,这将有望防止一些应用程序在被拒绝后仍反复要求访问通讯录。现在,用户可以授予它们访问权限,但限制它们可以实际获取哪些联系人。此外,如果开发者的应用可以让用户搜索要添加的联系人,他们也无需申请 iOS 18 的完全访问权限。取而代之的是,新的"联系人访问按钮"可让应用程序显示其无法访问的联系人结果,并在每个联系人姓名旁边显示"添加"按钮。这样,用户只需轻点一下,就可以逐一选择要提供给应用程序的联系人。 ... PC版: 手机版:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人