Forwarded from IT之家 - 数码, 科技, 生活 - 软媒旗下
Forwarded from Hacker News
StableCode (Score: 151+ in 7 hours)
Link: https://readhacker.news/s/5LYyt
Comments: https://readhacker.news/c/5LYyt
Link: https://readhacker.news/s/5LYyt
Comments: https://readhacker.news/c/5LYyt
Stability AI
Announcing Stable Code Alpha — Stability AI
Stability AI has just announced the release of StableCode, its very first LLM generative AI product for coding. This product is designed to assist programmers with their daily work while also providing a great learning tool for new developers ready to take…
Forwarded from APPDO的互联网记忆
澎湃新闻报道,8月1日,移动推广数据分析平台据七麦数据官网消息,8月1日 AppStore中国区发生大规模下架事件,截至19时左右累计下架App已超3万款,其中含游戏类App 26643款,占比近90%。
Forwarded from 每日消费电子观察 (Kexy Biscuit | 被子饼️ | 百合ヶ咲るる)
关于 MIUI 云端推送诈骗 APP 哈希并拒绝安装,没有像以往提供一次性绕过选项的问题
除了断网、替换组件版本等方式,关闭病毒扫描设置中的安装监控(如图)也能解决问题,当然如果开过安全守护的话也需要一并关闭
安装监控是出厂默认开启的,至于安全守护,默认不开启,但是有比较多模棱两可引导开启的情况,遇到的话需要注意
至于应用安全验证,我手头几台机器核实下来是没有影响的,只需要关闭安装监控和安全守护就能无警告安装了
Xiaomi 13 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi K60 Champion Edition / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Xiaomi 12 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi Note 11T Pro+ / MIUI V14.0.5.0.TLOCNXM / 应用包管理组件(非最新版) 5.0.9.3-20230130 已核实
Redmi Note 9 / MIUI V14.0.5.0.SJECNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi K30 Ultra / MIUI V14.0.5.0.SJNCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 10X Pro / MIUI V13.0.7.0.SJLCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 7A / MIUI V12.5.5.0.QCMCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Mi Note 3 / MIUI V12.0.1.0.PCHCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 5 Plus / MIUI V11.0.3.0.OEGCNXM / 应用包管理组件 4.3.9-202208016 已核实
考虑到应用包管理组件 5.1.5.3-20230725 和 5.1.6.2.0-20230725 版本 Min API 为 28,应用包管理组件 4.3.9-202208016 版本 Min API 为 24,MIUI 11 Android 7 的机型预计也受影响,待核查
Redmi Note 4X / MIUI V10.2.2.0.MBFCNXM / 应用包管理组件 1.1.3 不受影响
Mi-4c / MIUI V10.1.1.0.NXKCNFI / 应用包管理组件 2.0.9 不受影响
原爆料者截图已核实 https://www.v2ex.com/t/963610
除了断网、替换组件版本等方式,关闭病毒扫描设置中的安装监控(如图)也能解决问题,当然如果开过安全守护的话也需要一并关闭
安装监控是出厂默认开启的,至于安全守护,默认不开启,但是有比较多模棱两可引导开启的情况,遇到的话需要注意
至于应用安全验证,我手头几台机器核实下来是没有影响的,只需要关闭安装监控和安全守护就能无警告安装了
Xiaomi 13 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi K60 Champion Edition / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Xiaomi 12 Pro / MIUI 14 V14.0.23.7.31.DEV / 应用包管理组件 5.1.6.2.0-20230725 已核实
Redmi Note 11T Pro+ / MIUI V14.0.5.0.TLOCNXM / 应用包管理组件(非最新版) 5.0.9.3-20230130 已核实
Redmi Note 9 / MIUI V14.0.5.0.SJECNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi K30 Ultra / MIUI V14.0.5.0.SJNCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 10X Pro / MIUI V13.0.7.0.SJLCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 7A / MIUI V12.5.5.0.QCMCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Mi Note 3 / MIUI V12.0.1.0.PCHCNXM / 应用包管理组件 5.1.5.3-20230725 已核实
Redmi 5 Plus / MIUI V11.0.3.0.OEGCNXM / 应用包管理组件 4.3.9-202208016 已核实
考虑到应用包管理组件 5.1.5.3-20230725 和 5.1.6.2.0-20230725 版本 Min API 为 28,应用包管理组件 4.3.9-202208016 版本 Min API 为 24,MIUI 11 Android 7 的机型预计也受影响,待核查
Redmi Note 4X / MIUI V10.2.2.0.MBFCNXM / 应用包管理组件 1.1.3 不受影响
Mi-4c / MIUI V10.1.1.0.NXKCNFI / 应用包管理组件 2.0.9 不受影响
原爆料者截图已核实 https://www.v2ex.com/t/963610
Forwarded from 每日消费电子观察 (Dave Lin)
我国《匿名订阅通信服务技术规范》标准正式发布
https://www.ithome.com/0/711/390.htm
统一推送工委会联合运营商及行业组织,共同提出了“匿名订阅通信服务”的技术实现方案,其核心是,在用户主动授权后,通过运营商核心能力为用户生成“临时号码”暨匿名 ID,以保障用户在浏览、咨询、订阅信息后,其个人信息无法被应用获取,保护了用户的隐私
——————————
大厂会轻易放弃吗
https://www.ithome.com/0/711/390.htm
统一推送工委会联合运营商及行业组织,共同提出了“匿名订阅通信服务”的技术实现方案,其核心是,在用户主动授权后,通过运营商核心能力为用户生成“临时号码”暨匿名 ID,以保障用户在浏览、咨询、订阅信息后,其个人信息无法被应用获取,保护了用户的隐私
——————————
大厂会轻易放弃吗
Ithome
我国《匿名订阅通信服务技术规范》标准正式发布 - IT之家
统一推送工委会今日宣布,由中国信通院牵头、统一推送工委会参与、中国互联网协会归口的《匿名订阅通信服务技术规范》标准已编制完成。相关能力已完成联调,并联合行业完成了多轮内测。
Forwarded from 每日消费电子观察 (horo)
工信部:不得为未备案App提供网络接入服务
https://news.dayoo.com/finance/202308/09/139999_54532823.htm
https://news.dayoo.com/finance/202308/09/139999_54532823.htm
Dayoo
工信部:不得为未备案App提供网络接入服务_广州日报大洋网
未履行备案手续的,不得从事App互联网信息服务。
Forwarded from TG信息安全共享频道
2023攻防演练于8月9日9:00正式开始!
1. 目前情报了解到的攻击方禁止事项:
* 攻击方禁止采用任何近源攻击方式进行攻击
* 攻击方禁止非演练时间攻击:演练前(8月9日前)、21:00~9:00次日(当前)
* 攻击方禁止复用小HVV成果(部分客户前期有小HVV)
2. 关于一些变化:弱化了溯源到攻击人员的成果需求、弱化了提交漏洞的成果需求
3. HVV期间可以注意的事情:
- 钓鱼邮件防范:警惕公司公网和内网邮箱收到的邮件的发件人邮箱、链接中的地址域名真实性,附件后缀以及极具诱惑力的邮件主题,同时不要轻易打开或放行已打警示标记的邮件和隔离邮件摘要中的邮件。
- 电话短信防范:警惕不详或无法提供识别信息的,伪装成客户或商务机会,且诱导提供公司敏感信息,或诱导安装指定软件的行为。
- 可疑简历防范:避免接收应聘者通过即时通讯软件或邮箱直接发来的简历,打开简历前务必确认文件后缀,不打开非 doc/docx/PDF 后缀的简历文件。
- 物理攻击防范:警惕办公区内外的长期逗留、尝试溜门或获取无线密码等行为的可疑人员。
- 即时通讯防范:警惕一切以HVV名义,通过微信、QQ 或其他具有聊天功能的软件添加好友,或发送文件的行为,避免社会工程学攻击。
- 水坑攻击防范:警惕任何网站、公众号、微信群中发布的一切无法确认是官方来源的,以 HVV 0DAY/POC/补丁/检测工具/厂商情报为噱头的文件或链接。
- 避免协助社工:警惕以查IP归属、查员工电话、从电话查员工等可能与溯源或社工行为相关的外部请求,此类信息一律反馈发展计划部,由发展计划部判断后给出。
- 清点加固名下资产:明晰自己名下的设备、测试机等内网网络资产,提前打补丁、改密码和隔离,对于办公机和业务服务器安装终端防护;公网IP、公用邮箱、域名等外部攻击面,关闭演练期间不必要的服务,杜绝弱密码、未授权和Nday漏洞。
- 样本安全发送:禁止在即时通讯和邮件直接发送恶意样本,请加密压缩或破坏后缀格式后发送,避免误点击中招或邮件网关误拦截。
1. 目前情报了解到的攻击方禁止事项:
* 攻击方禁止采用任何近源攻击方式进行攻击
* 攻击方禁止非演练时间攻击:演练前(8月9日前)、21:00~9:00次日(当前)
* 攻击方禁止复用小HVV成果(部分客户前期有小HVV)
2. 关于一些变化:弱化了溯源到攻击人员的成果需求、弱化了提交漏洞的成果需求
3. HVV期间可以注意的事情:
- 钓鱼邮件防范:警惕公司公网和内网邮箱收到的邮件的发件人邮箱、链接中的地址域名真实性,附件后缀以及极具诱惑力的邮件主题,同时不要轻易打开或放行已打警示标记的邮件和隔离邮件摘要中的邮件。
- 电话短信防范:警惕不详或无法提供识别信息的,伪装成客户或商务机会,且诱导提供公司敏感信息,或诱导安装指定软件的行为。
- 可疑简历防范:避免接收应聘者通过即时通讯软件或邮箱直接发来的简历,打开简历前务必确认文件后缀,不打开非 doc/docx/PDF 后缀的简历文件。
- 物理攻击防范:警惕办公区内外的长期逗留、尝试溜门或获取无线密码等行为的可疑人员。
- 即时通讯防范:警惕一切以HVV名义,通过微信、QQ 或其他具有聊天功能的软件添加好友,或发送文件的行为,避免社会工程学攻击。
- 水坑攻击防范:警惕任何网站、公众号、微信群中发布的一切无法确认是官方来源的,以 HVV 0DAY/POC/补丁/检测工具/厂商情报为噱头的文件或链接。
- 避免协助社工:警惕以查IP归属、查员工电话、从电话查员工等可能与溯源或社工行为相关的外部请求,此类信息一律反馈发展计划部,由发展计划部判断后给出。
- 清点加固名下资产:明晰自己名下的设备、测试机等内网网络资产,提前打补丁、改密码和隔离,对于办公机和业务服务器安装终端防护;公网IP、公用邮箱、域名等外部攻击面,关闭演练期间不必要的服务,杜绝弱密码、未授权和Nday漏洞。
- 样本安全发送:禁止在即时通讯和邮件直接发送恶意样本,请加密压缩或破坏后缀格式后发送,避免误点击中招或邮件网关误拦截。
Forwarded from 新·世界观察日志 (NPGamma)
求职者隐私被泄密!58集团被曝大量倒卖毕业生求职简历
网易财经近日从58集团内部获取的资料显示,58集团假借招聘之名,收集学生简历,高价卖给培训机构,后者以此联系学生群体卖课转化客源,58集团从中收取返佣。据悉,在58集团出售的大学毕业生简历中,单份简历报价在30-2000元不等,其中博士生简历价格高达约1500元/份。
在巨大利用驱使下,年轻求职者的隐私流入市场成为交易物,大量学生群体个人信息成为58公司牟利“工具”。据悉,借此方式58集团一年多牟利超200万元,近20家企业向其合作采购简历,包括某巨头物流公司、饮料行业独角兽及企政单位。
上述人员指出,58集团与新华网合作的新华英才招聘平台主要针对的是校园群体,为了快速收集更多的简历,58方面便将原本挂在58同城中的蓝领top企业职务信息虚设挂在新华英才网中,因为职位本不存在或早已停止招聘,大学生在投递简历后并不会被企业联系。
据介绍,58方面出售毕业生简历主要以两种形式打包售卖:一是按群体数量,二是匹配合作机构要求的画像类型(专业、院校、年龄段、学历等)筛选后打包,简历售卖单价也不同,单份简历报价在30-2000元不等,平均报价为140-250/份,博士生的简历价格近1500元/份。
此外,除向教育培训机构售卖毕业生简历外,58公司还向包括物流公司、饮料企业及企政单位出售蓝灰领群体的简历,部分价格在100-500元/份。
https://www.163.com/money/article/IBN21D4200258105.html
网易财经近日从58集团内部获取的资料显示,58集团假借招聘之名,收集学生简历,高价卖给培训机构,后者以此联系学生群体卖课转化客源,58集团从中收取返佣。据悉,在58集团出售的大学毕业生简历中,单份简历报价在30-2000元不等,其中博士生简历价格高达约1500元/份。
在巨大利用驱使下,年轻求职者的隐私流入市场成为交易物,大量学生群体个人信息成为58公司牟利“工具”。据悉,借此方式58集团一年多牟利超200万元,近20家企业向其合作采购简历,包括某巨头物流公司、饮料行业独角兽及企政单位。
上述人员指出,58集团与新华网合作的新华英才招聘平台主要针对的是校园群体,为了快速收集更多的简历,58方面便将原本挂在58同城中的蓝领top企业职务信息虚设挂在新华英才网中,因为职位本不存在或早已停止招聘,大学生在投递简历后并不会被企业联系。
据介绍,58方面出售毕业生简历主要以两种形式打包售卖:一是按群体数量,二是匹配合作机构要求的画像类型(专业、院校、年龄段、学历等)筛选后打包,简历售卖单价也不同,单份简历报价在30-2000元不等,平均报价为140-250/份,博士生的简历价格近1500元/份。
此外,除向教育培训机构售卖毕业生简历外,58公司还向包括物流公司、饮料企业及企政单位出售蓝灰领群体的简历,部分价格在100-500元/份。
https://www.163.com/money/article/IBN21D4200258105.html
网易财经
求职者隐私被泄密!58集团被曝大量倒卖毕业生求职简历
求职者隐私被泄密!58集团被曝大量倒卖毕业生求职简历,简历,求职,招聘,毕业生,大学毕业生,中华英才网
Forwarded from GDP_信息安全(纪念版)
nday消息同步
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题,还是可以通过...跳转到根目录,换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了,去年代码执行、金格接口打得很凶,今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day,今年年初修复了很多,ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞,这系统代码执行也太多了不赘述,建议重开6泛微F-coloav后合文件上传漏洞(0dav
从数据库读xxx,然后写到根目录,除了一些流
传的1day之外泛微可以说基本已安全,RASP能
绕也不想耗费精力继续看了,这个洞是针对去年
的前台洞绕过。
7泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用,不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞,office9洞太多用的少没必要写了
9契约锁电子签章系统RCE(1day)
上海某行动期间已修复,更新补丁很快,这家签章平台响应速度还是很快的,和泛微ECO经常同框打包卖
10.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了,今年有新的,可以注意下
11.ldocview命令执行漏洞
去年项目挖的,今年还在12jeesite代码执行漏洞Oday,丁真来了都得说真13LiveBOS文件上传漏洞
金融单位供应链,不需要前几年的跳目录了,新
版本灵动框架的上传绕过绕的很emmm
14.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
15.一哥VPN
预计今年二进制漏洞打得也会很凶,端口PWN!
16.xxIOA PWN
零信任不一定真的安全
17.xxx准入PWN
弱口令记得也要修一修
18.深信服应用交付系统命令执行
19.协同办公文档(DzzOfffice)未授权访问
20.电子签章平台代码执行漏洞
21泛微oa进后台漏洞
22.ucloud的未授权获取任意用户cookie
23.飞书客户端RCE漏洞
24.泛微EofficeV10前台RCE
25.来客推商城任意文件上传
26天明堡垒机Oday
27明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入29泛微emobile注入漏洞
30.拓尔思WCM任意命令执行漏洞
31.用友财务云任意文件上传漏洞
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题,还是可以通过...跳转到根目录,换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了,去年代码执行、金格接口打得很凶,今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day,今年年初修复了很多,ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞,这系统代码执行也太多了不赘述,建议重开6泛微F-coloav后合文件上传漏洞(0dav
从数据库读xxx,然后写到根目录,除了一些流
传的1day之外泛微可以说基本已安全,RASP能
绕也不想耗费精力继续看了,这个洞是针对去年
的前台洞绕过。
7泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用,不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞,office9洞太多用的少没必要写了
9契约锁电子签章系统RCE(1day)
上海某行动期间已修复,更新补丁很快,这家签章平台响应速度还是很快的,和泛微ECO经常同框打包卖
10.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了,今年有新的,可以注意下
11.ldocview命令执行漏洞
去年项目挖的,今年还在12jeesite代码执行漏洞Oday,丁真来了都得说真13LiveBOS文件上传漏洞
金融单位供应链,不需要前几年的跳目录了,新
版本灵动框架的上传绕过绕的很emmm
14.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
15.一哥VPN
预计今年二进制漏洞打得也会很凶,端口PWN!
16.xxIOA PWN
零信任不一定真的安全
17.xxx准入PWN
弱口令记得也要修一修
18.深信服应用交付系统命令执行
19.协同办公文档(DzzOfffice)未授权访问
20.电子签章平台代码执行漏洞
21泛微oa进后台漏洞
22.ucloud的未授权获取任意用户cookie
23.飞书客户端RCE漏洞
24.泛微EofficeV10前台RCE
25.来客推商城任意文件上传
26天明堡垒机Oday
27明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入29泛微emobile注入漏洞
30.拓尔思WCM任意命令执行漏洞
31.用友财务云任意文件上传漏洞
Forwarded from 踹哈公寓
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 踹哈公寓
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮 (在花⭐️投稿📮Bot)
Forwarded from 每日消费电子观察 (horo)
Forwarded from 蓝点网订阅频道
#软件资讯 缩短 n 天利用:谷歌宣布自 Chrome 116 开始,每周都会发布一次稳定版更新。
详情:https://ourl.co/99792
这里的稳定版更新指的是子版本,也就是错误修复版本,其中大版本更新依然是每月 1 次。
改成这种更迭节奏的好处是可以提升漏洞修复速度,降低已知漏洞的可能性。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
详情:https://ourl.co/99792
这里的稳定版更新指的是子版本,也就是错误修复版本,其中大版本更新依然是每月 1 次。
改成这种更迭节奏的好处是可以提升漏洞修复速度,降低已知漏洞的可能性。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
Forwarded from 不靠谱的喵(>^ω^<) #CatGPT (Yuze Wu 🐱 | 女子大学生 | 喵!)
不扯犊子了(
其实谷歌套件能在国行手机内置,就已经是通过审核的了,不用担心不能在设备中预装,GMS 在国内提供互联网服务的几个域名都是通过 ICP 备案的
2023-03-06 / 沪ICP备13018775号-20 / 谷歌广告(上海)有限公司 / googleapis.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / google.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / g.cn
其实谷歌套件能在国行手机内置,就已经是通过审核的了,不用担心不能在设备中预装,GMS 在国内提供互联网服务的几个域名都是通过 ICP 备案的
2023-03-06 / 沪ICP备13018775号-20 / 谷歌广告(上海)有限公司 / googleapis.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / google.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / g.cn
Forwarded from KubeDown | Channel
我刚上了10个SVIP怎么瞬间就死了,我怀疑有人在故意解析一堆文件,把我的账号下死了