Jenkins曝两大严重安全漏洞，可允许代码执行攻击

在Liberty Mutual公司，Jenkins开始通过演习来评估员工的网络安全意识，并确保在疫情期间对于检测威胁，每个人都保持敏锐的态度。此外，Jenkins还与该公司的执行领导团队一起进行了各种网络危机演习。Jenkins表示，该公司还将网络安全目标作为所有员工的绩效目标，而不仅仅是针对安全领域的员工。尽管他想利用疫情带来的漏洞并帮助教育员工，但他认为这样做不公平。

国家信息安全漏洞共享平台（CNVD）发布报告

据报道，GPT-3.5系列模型自2021年四季度就开始混合使用文本和代码进行训练。

工具本身没有好坏，但如果能充分利用好的工具，往往能达到意想不到的效果，安全行业尤其如此。这期推荐的是一些免费而且很优秀的安全软件工具，无论是渗透测试，开源情报，还是漏洞评估，都能让安全人的日常工作更轻松。将近20款最好的免费安全工具，最实用的干货分享，没时间的朋友，建议先马再看！

在首次报告Meow攻击后的一个多星期后，受影响的数据库数量急剧增加。上周四，安全研究人员估计已经擦除1000多个数据库，主要是ElasticSearch和MongoDB。根据Shodan在ElasticSearch中搜索meow索引的结果，截至周四，共有5,983个被黑数据库。7月27日，ElasticSearch在Twitter上提到该问题，并敦促用户部署适当的安全设置来防止攻击。该公司与一名道德黑客合作，该黑客对ElasticSearch和MongoDB库进行了整整一年的扫描，以寻找在公共互联网上暴露的不受保护的数据库。

有关这项研究的完整详细信息，请参阅 X-Force Red 白皮书“控制源代码：滥用源代码管理系统”。该材料也将在Black Hat USA 2022上展示。

漏洞及渗透练习平台 数据库注入练习平台 花式扫描器 信息搜集工具 WEB工具 windows域渗透工具 漏洞利用及攻击框架 漏洞POC&EXP 中间人攻击及钓鱼 密码pj 二进制及代码分析工具 EXP编写框架及工具 隐写相关工具 各类安全资料 各类CTF资源 各类编程资源 Python

保时捷是受影响的品牌之一，其车载通讯系统存在的漏洞使攻击者能够检索车辆位置并发送命令。但是，在目前的状态下不可否认的是，人工智能已经可以协助网络犯罪分子进行非法活动。在推出后的五天内，已有超过一百万人注册测试该技术。发现的漏洞可以帮助组织加强其系统的安全性。

近期360监测到境外某论坛有黑客利用SonarQube漏洞，窃取大量源码，并在论坛上公然兜售泄露代码，其中涉及我国数十家重要企业单位的应用代码，其行为极为恶劣。

F-vuln（全称：Find-Vulnerability）是为了自己工作方便专门编写的一款自动化工具，主要适用于日常安全服务、渗透测试人员和RedTeam红队人员，它集合的功能包括：存活IP探测、开放端口探测、web服务探测、web漏洞扫描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他数据库爆破工作以及大量web漏洞检测模块。