猪肉包发邮件称，9月1日 .com 域名将涨价。
另，NameSilo也发邮件要涨价了，这一波应该所有域名商 .com 价格都会上涨。

4年超2000款App违规，过度收集个人信息何时休
=============
“四年来，阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。主要的互联网平台公司中，仅有拼多多从未被点名通报”

https://m.36kr.com/p/2338291672784513

普通人用得最多的操作系统，是“滚动更新”的😇

位于 Windows Insider Program Canary Channel 的用户可能会发现，在进行今天的补丁星期二更新后，2023-08 Cumulative Update for .NET Framework 3.5 and 4.8.1 for Windows Version Next for x64 (KB5028949) 无法正常安装，表现为 Windows Update 请求重启并更新，但重启后更新并未安装，Windows Update 继续请求重启并更新，这个过程可无限循环，在某些配置下会导致无人值守的计算机以数分钟的间隔不断重启

Reddit 上微软雇员 jenmsft 确认正在调查此问题，笔者推荐用户手动推迟重启时间，等待修复

https://www.reddit.com/r/windowsinsiders/comments/15lzrn0/update_not_installing_202308_cumulative_update/

https://aka.ms/AAm11vy

领英职场今日起在中国停止服务

https://www.ithome.com/0/711/201.htm

YouTube 对关闭观看历史记录的用户采取极端措施，首页变成一片空白

https://www.ithome.com/0/711/214.htm

《守望先锋 2》Steam 版开启预载，新辅助英雄“伊拉锐”公布

https://www.ithome.com/0/711/244.htm

Take-Two 信心满满，暗示《GTA 6》将于 2024 年发售

https://www.ithome.com/0/711/246.htm

StableCode (Score: 151+ in 7 hours)

Link: https://readhacker.news/s/5LYyt
Comments: https://readhacker.news/c/5LYyt

澎湃新闻报道，8月1日，移动推广数据分析平台据七麦数据官网消息，8月1日 AppStore中国区发生大规模下架事件，截至19时左右累计下架App已超3万款，其中含游戏类App 26643款，占比近90%。

关于 MIUI 云端推送诈骗 APP 哈希并拒绝安装，没有像以往提供一次性绕过选项的问题

除了断网、替换组件版本等方式，关闭病毒扫描设置中的安装监控（如图）也能解决问题，当然如果开过安全守护的话也需要一并关闭

安装监控是出厂默认开启的，至于安全守护，默认不开启，但是有比较多模棱两可引导开启的情况，遇到的话需要注意

至于应用安全验证，我手头几台机器核实下来是没有影响的，只需要关闭安装监控和安全守护就能无警告安装了

Xiaomi 13 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi K60 Champion Edition / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Xiaomi 12 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi Note 11T Pro+ / MIUI V14.0.5.0.TLOCNXM / 应用包管理组件（非最新版） 5.0.9.3-20230130 已核实
Redmi Note 9 / MIUI V14.0.5.0.SJECNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi K30 Ultra / MIUI V14.0.5.0.SJNCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 10X Pro / MIUI V13.0.7.0.SJLCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 7A / MIUI V12.5.5.0.QCMCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Mi Note 3 / MIUI V12.0.1.0.PCHCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 5 Plus / MIUI V11.0.3.0.OEGCNXM / 应用包管理组件 4.3.9-202208016 已核实

考虑到应用包管理组件 5.1.5.3-20230725 和 5.1.6.2.0-20230725 版本 Min API 为 28，应用包管理组件 4.3.9-202208016 版本 Min API 为 24，MIUI 11 Android 7 的机型预计也受影响，待核查

Redmi Note 4X / MIUI V10.2.2.0.MBFCNXM / 应用包管理组件 1.1.3 不受影响
Mi-4c / MIUI V10.1.1.0.NXKCNFI / 应用包管理组件 2.0.9 不受影响

原爆料者截图已核实 https://www.v2ex.com/t/963610

匿名（迫真）

我国《匿名订阅通信服务技术规范》标准正式发布
https://www.ithome.com/0/711/390.htm

统一推送工委会联合运营商及行业组织，共同提出了“匿名订阅通信服务”的技术实现方案，其核心是，在用户主动授权后，通过运营商核心能力为用户生成“临时号码”暨匿名 ID，以保障用户在浏览、咨询、订阅信息后，其个人信息无法被应用获取，保护了用户的隐私
——————————
大厂会轻易放弃吗

工信部：不得为未备案App提供网络接入服务
https://news.dayoo.com/finance/202308/09/139999_54532823.htm

2023攻防演练于8月9日9:00正式开始！
1. 目前情报了解到的攻击方禁止事项：
* 攻击方禁止采用任何近源攻击方式进行攻击
* 攻击方禁止非演练时间攻击：演练前（8月9日前）、21:00～9:00次日（当前）
* 攻击方禁止复用小HVV成果（部分客户前期有小HVV）
2. 关于一些变化：弱化了溯源到攻击人员的成果需求、弱化了提交漏洞的成果需求
3. HVV期间可以注意的事情：
- 钓鱼邮件防范：警惕公司公网和内网邮箱收到的邮件的发件人邮箱、链接中的地址域名真实性，附件后缀以及极具诱惑力的邮件主题，同时不要轻易打开或放行已打警示标记的邮件和隔离邮件摘要中的邮件。
- 电话短信防范：警惕不详或无法提供识别信息的，伪装成客户或商务机会，且诱导提供公司敏感信息，或诱导安装指定软件的行为。
- 可疑简历防范：避免接收应聘者通过即时通讯软件或邮箱直接发来的简历，打开简历前务必确认文件后缀，不打开非 doc/docx/PDF 后缀的简历文件。
- 物理攻击防范：警惕办公区内外的长期逗留、尝试溜门或获取无线密码等行为的可疑人员。
- 即时通讯防范：警惕一切以HVV名义，通过微信、QQ 或其他具有聊天功能的软件添加好友，或发送文件的行为，避免社会工程学攻击。
- 水坑攻击防范：警惕任何网站、公众号、微信群中发布的一切无法确认是官方来源的，以 HVV 0DAY/POC/补丁/检测工具/厂商情报为噱头的文件或链接。
- 避免协助社工：警惕以查IP归属、查员工电话、从电话查员工等可能与溯源或社工行为相关的外部请求，此类信息一律反馈发展计划部，由发展计划部判断后给出。
- 清点加固名下资产：明晰自己名下的设备、测试机等内网网络资产，提前打补丁、改密码和隔离，对于办公机和业务服务器安装终端防护；公网IP、公用邮箱、域名等外部攻击面，关闭演练期间不必要的服务，杜绝弱密码、未授权和Nday漏洞。
- 样本安全发送：禁止在即时通讯和邮件直接发送恶意样本，请加密压缩或破坏后缀格式后发送，避免误点击中招或邮件网关误拦截。

领英走了，看看两边是怎么报道的
https://www.bbc.com/zhongwen/trad/business-58922584
https://www.ithome.com/0/711/201.htm

求职者隐私被泄密！58集团被曝大量倒卖毕业生求职简历

网易财经近日从58集团内部获取的资料显示，58集团假借招聘之名，收集学生简历，高价卖给培训机构，后者以此联系学生群体卖课转化客源，58集团从中收取返佣。据悉，在58集团出售的大学毕业生简历中，单份简历报价在30-2000元不等，其中博士生简历价格高达约1500元/份。

在巨大利用驱使下，年轻求职者的隐私流入市场成为交易物，大量学生群体个人信息成为58公司牟利“工具”。据悉，借此方式58集团一年多牟利超200万元，近20家企业向其合作采购简历，包括某巨头物流公司、饮料行业独角兽及企政单位。

上述人员指出，58集团与新华网合作的新华英才招聘平台主要针对的是校园群体，为了快速收集更多的简历，58方面便将原本挂在58同城中的蓝领top企业职务信息虚设挂在新华英才网中，因为职位本不存在或早已停止招聘，大学生在投递简历后并不会被企业联系。

据介绍，58方面出售毕业生简历主要以两种形式打包售卖：一是按群体数量，二是匹配合作机构要求的画像类型（专业、院校、年龄段、学历等）筛选后打包，简历售卖单价也不同，单份简历报价在30-2000元不等，平均报价为140-250/份，博士生的简历价格近1500元/份。

此外，除向教育培训机构售卖毕业生简历外，58公司还向包括物流公司、饮料企业及企政单位出售蓝灰领群体的简历，部分价格在100-500元/份。

https://www.163.com/money/article/IBN21D4200258105.html

nday消息同步
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题，还是可以通过...跳转到根目录，换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了，去年代码执行、金格接口打得很凶，今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day，今年年初修复了很多，ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞，这系统代码执行也太多了不赘述，建议重开6泛微F-coloav后合文件上传漏洞(0dav
从数据库读xxx，然后写到根目录，除了一些流
传的1day之外泛微可以说基本已安全，RASP能
绕也不想耗费精力继续看了，这个洞是针对去年
的前台洞绕过。
7泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用，不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞，office9洞太多用的少没必要写了
9契约锁电子签章系统RCE(1day)
上海某行动期间已修复，更新补丁很快，这家签章平台响应速度还是很快的，和泛微ECO经常同框打包卖
10.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了，今年有新的，可以注意下
11.ldocview命令执行漏洞
去年项目挖的，今年还在12jeesite代码执行漏洞Oday，丁真来了都得说真13LiveBOS文件上传漏洞
金融单位供应链，不需要前几年的跳目录了，新
版本灵动框架的上传绕过绕的很emmm
14.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
15.一哥VPN
预计今年二进制漏洞打得也会很凶，端口PWN!
16.xxIOA PWN
零信任不一定真的安全
17.xxx准入PWN
弱口令记得也要修一修
18.深信服应用交付系统命令执行
19.协同办公文档(DzzOfffice)未授权访问
20.电子签章平台代码执行漏洞
21泛微oa进后台漏洞
22.ucloud的未授权获取任意用户cookie
23.飞书客户端RCE漏洞
24.泛微EofficeV10前台RCE
25.来客推商城任意文件上传
26天明堡垒机Oday
27明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入29泛微emobile注入漏洞
30.拓尔思WCM任意命令执行漏洞
31.用友财务云任意文件上传漏洞