Tôi đã nhận được 1 khoản bounty từ GitLab nhờ một lỗ hổng tôi tìm được tại Asciidoctor vài tuần trước. Tôi luôn hứng thú với các parser của các ngôn ngữ markup, ví dụ như đối với gem ‘github-markup’, có rất nhiều loại ngôn ngữ markup mà nó suppport ví dụ như: Asciidoctor Markdown […]
Hàng tháng, Chúng tôi tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp. 1 Các mối đe dọa nâng cao – Advanced Threats 1.1 Các cuộc tấn công của tin tặc Trung Quốc: APT40, APT31, APT30, APT27, Soft Cell, GhostEmpanga 1.1.1 […]
Sau khi ra loạt bài về những điểm yếu của các giao thức truyền thông công nghiệp, chúng tôi tiếp tục triển khai các thử nghiệm thực tế để chứng minh nguy hiểm luôn rình rập các hệ thống sử dụng những giao thức đó. Bài viết này mô tả thử nghiệm khai thác điểm […]
Trong bản cập nhật phần mềm vào cuối tháng 3/2021, Gitlab thông báo khắc phục 10 lỗ hổng bảo mật, trong đó có một lỗ hổng được đánh giá mức ảnh hưởng cao do ledz1996 phát hiện. Đây là lỗ hổng nguy hiểm, cho phép kẻ tấn công đọc/ghi file tùy ý trên máy chủ […]
Các nhà nghiên cứu Volexity mới đây đã phát hiện một số cuộc tấn công strategic web compromise (SWC) từ một nhóm APT của Triều Tiên được biết với tên gọi InkySquid (hay ScarCruft, APT37). Cụ thể, nhóm này đã tấn công www.dailynk [.]com, một trang web của Hàn Quốc chuyên tập trung vào các vấn đề của Triều Tiên. Code độc hại trên trang web Daily NK đã được quan sát ít nhất từ cuối tháng 3 năm 2021 cho đến đầu tháng 6 năm 2021.