FreeBuf 周报|8月1日起施行《互联网用户账号信息管理规定》；加拿大前政府雇员参与勒索攻击

各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

 热点资讯 

1. 经报网络安全审查办公室同意，BOSS 直聘、运满满、货车帮恢复新用户..

2. Amazon Photos被曝高危漏洞，攻击者可获取文件访问权限

3. 前加拿大政府雇员承认参与 NetWalker 勒索软件攻击

4. Uber 前安全主管面临欺诈指控，曾隐瞒数据泄露事件

5. 腾讯 QQ 惊现神奇 Bug，退出后密码变成“123456789”且可成功登录

6. 亲俄黑客组织 Killnet 攻击立陶宛的关键政府网站

7. 国家网信办发布《互联网用户账号信息管理规定》 8月1日起施行

8. LockBit 勒索软件伪装成侵权电子邮件进行传播

9. 网络安全审查办公室对知网启动网络安全审查

10. CISA：攻击者利用Log4Shell漏洞入侵VMware服务器

 优质文章 

1.统一身份管理方案：从解析到落地实录

本文涉及的统一身份管理方案，主要是指认证Authentication、授权Authorization、账号Account、审计Audit，包含现状刨析和方案设计。

2. 萌新如何玩转mimikatz

mimikatz是法国安全研究员Benjamin Delpy在GitHub开源的内网工具，可用来做一些关于Win内网安全的渗透实验。它在内网渗透中它可以从lsass.exe进程中提取明文密码、哈希值、PIN码和Kerberos票据，因此很多人称之为密码抓取神器。

3. 静态代码分析之C语言篇

c代码静态分析目前最主要的难点在于区间分析，这部分分析的准确性对后续的漏洞分析的准确性有很大的影响。所以在c代码静态分析方面，区间分析方面需要花比较大的功夫去钻研，不仅要保证分析的分析的准确性，同时也要考虑到分析的效率，因为很多c代码项目，如linux内核等，代码量非常庞大，如果没有一个比较合理的算法，加快代码分析速度，那么接入到企业内部使用，其体验感也是非常差的。当然，精度和速度两者一般情况下是一种此消彼长的关系的，如何从中达到一个平衡，还需要不断的进行测试和实践。

4. 论新一代欺骗防御战术在实战攻防过程的定位及使用场景

网络空间防御作为保证网络安全的关键，无论在方法理论、体系构建、还是技术实施等方面都在不断推陈出新。不同于以往“封门堵漏”的被动防御思想，网络空间防御正朝着主动防御的思想策略发展演变。欺骗防御跳出了技术对抗的思路，把关注点从攻击上挪开，进而去关注攻击者本身。即使人类进入量子计算时代，但凡人性的弱点还没有消失，欺骗和防御的故事都会不断上演，而且在未来的信息对抗中将扮演越来越重要的作用。

5. 一款名为“精简”新型诈骗应用分析报告

一款名为“精简”的贷款类涉诈APP，伪装成中国农业银行图标，冒充贷款业务，实际上是窃取用户的证件信息（真实姓名、证件号、证件正面照片、证件反面照片、手持证件照片）、银行卡信息（预留手机号、开户银行、银行卡号）、手写签名等信息，后台服务器在美国、新加坡，截止目前，系统监测发现566款同家族变种应用。

 省心工具 

1. Jeeves：一款功能强大的SQL注入漏洞扫描工具

Jeeves是一款功能强大的SQL注入漏洞扫描工具，在该工具的帮助下，广大研究人员可以轻松通过网络侦查等方式来寻找目标应用程序中潜在的基于时间的SQL盲注漏洞。

2. AzureRT：一款能够实现各种Azure红队技战术的PowerShell模块

AzureRT是一款能够实现各种Azure红队技战术的PowerShell模块，在AzureRT的帮助下，广大研究人员可以从攻击者的角度来与Azure和Azure AD进行交互，以此来测试目标环境的安全性。

3. 如何使用OSIPs快速批量验证IP地址的有效性

OSIPs是一款功能强大的Python脚本，该工具可以从一个目录中读取全部的文本文件，并从这些文本文件中收集IP地址信息，然后通过查询Whois数据库、TOR中继和地理位置服务来对目标IP地址的有效性进行批量验证。

精彩推荐