蓝牙音箱和耳机安全测评报告
引言1. 背景说明近年来,随着智能设备的普及和音频技术的发展,蓝牙音箱和耳机在消费电子市场上占据了重要地位。 这些设备为用户提供了便携、无线的音频体验,但同时也带来了潜在的安全隐患。 蓝牙技术本身存在一定的安全漏洞,加之这些设备通常连接到用户的智能手机并访问个人数据,以及智能家居或智能酒店场景下蓝牙音箱的应用,使得蓝牙音箱和耳机的安全问题变得尤为重要。 今年以来,CVE-2023-45866漏洞和
洞源实验室 | 网络安全实践与AI安全探索
大模型在网络安全方面的应用汇总
引⾔⼤语⾔模型(Large Language Models, LLMs)的横空出世,为传统计算机科学的各个细分领域带来了颠覆性的变⾰。这种变⾰的浪潮同样席卷了⽹络安全领域,引发了⼀系列深刻的变化和影响。GPT-4、Gemini、Llama 2 等⼤模型以其卓越的⾃然语⾔处理能⼒,重新定义了我们对数据安全和⽹络防御的认知,提供了检测和减轻安全威胁的新⽅法。本⽂⼴泛调研 LLMs 在⽹络安全中的多样化
微软蓝屏史诗级事件深度分析与启示
事件过程与影响 7月19日下午,大约从北京时间13点30分开始,全球不同地方的Windows系统用户中,不少人发现自己的Windows系统出现了蓝屏错误(BSOD,Blue Screen Of Death)。 这个故障画面会显示Recovery(恢复),并提示Windows系统没有正确加载。 之后,网络上出现许多蓝屏恶搞的图片,以此指向微软或者CrowdStrike公司。比如冰箱蓝屏导致无法打开
ARL联动AWVS实现自动化漏洞扫描
0x01 前言很多场景下需要大范围的扫描漏洞和快速排查互联网暴露面的漏洞,需要使用这种自动化的手段,常规渗透测试的找互联网暴露面是,域名>子域名>IP>C段>端口,可以手动收集,也可以借助一些网络搜索引擎(fofa、zoomeye、hunter等)然后进行指纹识别、存活探测等等,再用xray或者nuclei、afrog之类的工具过一遍,手工渗透一下。 大概就是这样一个流
监听蓝牙对话的BlueSpy技术复现
2个月前,网络安全和情报公司Tarlogic在西班牙安全大会RootedCon 2024上提出了一项利用蓝牙漏洞的BlueSpy技术,并在之后发布了一个名为BlueSpy的概念验证工具。 这个蓝牙安全漏洞能够允许攻击者在蓝牙扬声器(比如耳机)已经与另一个设备配对并连接的情况下,劫持或监听蓝牙扬声器的输出内容,这也意味着,如果攻击目标是蓝牙耳机,那么可以通过这个漏洞进行目标用户蓝牙耳机通话的劫持,即
CISA网络安全事件应急手册
《Cybersecurity Incident & Vulnerability Response Playbooks》是美国CISA(Cybersecurity and Infrastructure Security Agency,网络安全和基础设施安全局)于2021年11月份发布的指导手册,是基于FCEB(Federal Civilian Executive Branch,负责法律、管理
详细的安全漏洞报告是怎样的
无论是做漏洞研究还是做安全测试,最终都需要以文本的方式将安全漏洞的信息呈现给需要理解漏洞的人,这个人可能是漏洞相关产品所在机构的审核人员,也可能是漏洞所属产品的研发人员,或者是产品经理之类的决策或管理人员。 一份详细且恰当的漏洞报告可以减少漏洞发现者或提交者与上述人员之间的沟通成本,尤其是描述复杂的漏洞。而现实中阅读漏洞报告的接收者对于漏洞详情与漏洞报告者之间常常产生分歧、争议,比如漏洞定级的分歧
ReDoS漏洞的原理、示例与应对
日常开发过程中,开发人员经常需要从一大段复杂的字符串中快速匹配特殊规律的字符串,比如,在用户输入手机号、身份证号等字符后,提醒用户是否输入规范。通常,这些功能的实现需要依赖叫做“正则表达式”的方法,当在它在处理一些复杂的、嵌套的或者具有多个重复的模式字符串时就会造成程序卡死,即造成ReDoS。 正则表达式简介正则表达式是一种用单个字符串来表示各种字符串的表达方式,通常用于在文本中搜索和提取字符串。