The Hacker News 网站消息，可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞，这些漏洞可能会导致设备信息泄露或权限提升。 漏洞或影响数十亿物联网设备 2022 年 11 月，网络安全公司 Quarkslab 发现并报告漏洞问题，其中一个漏洞被追踪为 CVE-2023-1017（涉及越界写入），另一个漏洞追踪为 CVE-2023-1018（可能允许攻击者越界读取）。 Quarkslab 指出，使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响，并一再强调，漏洞可能会影响数十亿设备。 可信平台模块 (TPM) 可信平台模块 (TPM) 技术是一种基于硬件的解决方案，可为现代计算机上的操作系统提供安全的加密功能，使其能够抵抗篡改。 微软表示，最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用，在系统启动过程中，可以测量加载的启动代码（包括固件和操作系统组件）并将其记录在 TPM 中，完整性测量值可用作系统启动方式的证据，并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。 可信计算组织（TCG） 漏洞事件发酵后，可信计算组织（简称：TCG，由 AMD、惠普、IBM、英特尔和微软组成）指出，由于缺乏必要的检查，出现漏洞问题，最终或引起本地信息泄露或权限升级。CERT 协调中心（CERT/CC）在一份警报中表示，受影响的用户应该考虑使用 TPM 远程验证来检测设备变化，并确保其 TPM 防篡改。 最后，安全专家建议用户应用 TCG 以及其它供应商发布的安全更新，以解决这些漏洞并减轻供应链风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359428.html 封面来源于网络，如有侵权请联系删除

随着电动汽车近年来的销售量不断增长，电动汽车充电桩的需求也不断增加，但随之而来充电桩的网络安全问题也日益显现。 今年2月，新能源网络安全公司Saiflow的研究人员在开放充电点协议（OCPP）中发现了两个漏洞，可用于分布式拒绝服务（DDoS）攻击和窃取敏感信息。而爱达荷国家实验室最近发现，根据《能源》杂志对电动车充电漏洞研究的调查，在所检查的每个充电器仍然在运行未更新的Linux版本，允许许多服务以root身份运行。而且这些潜在的风险已经被不法分子利用。一年前，俄乌战争爆发开始，黑客攻击了莫斯科附近的充电站，使其瘫痪。 之所以充电桩网络安全问题日益凸显，是因为电动汽车的销售在全世界蓬勃发展。以美国为例，根据JD Power的数据，电动汽车的销量占2022年所有车辆销售的5.8%，高于前一年的3.2%。根据美国能源部的数据，目前，美国只有不到5.1万个快速充电站，能同时为13万辆汽车充电的能力。但是，截至2022年6月，注册的电动汽车超过150万辆，这意味着每一个公共充电端口要服务11辆汽车。 为了满足需求，解决电动汽车充电难的问题，拜登政府的目标是到2030年将车辆充电桩的数量增加到50万个。但是这也引起了网络安全专家的担心，因为这种急于求成的做法不利于网络安全的建设。大多数电动车充电器是一种物联网技术，这么多设备大量投放，而往往连接到单一的系统，鉴于基础设施的连接性和潜在的破坏能力，如何去实施、建设是不得不考虑问题。 物联网、OT和关键基础设施 技术的革新在许多方面引领了电动汽车行业的发展，其中也包括电动汽车充电设备的进化，这些设备通过移动应用程序进行连接，它们也将成为交通网络的一个重要组成部分，就像其他操作技术（OT）一样。 当然，由于电动车充电站必须连接到公共网络，确保它们的通信是加密的，这对维护设备的安全至关重要。黑客往往会在公共网络上寻找安全性差的设备，因此，充电桩运营商必须采取严格的保护措施，让黑客攻击无从下手。 消费者设备也是一个问题。根据ChargePoint数据显示，大约80%的充电是在家里进行的。但往往这些设备可能更容易被攻击，因为消费者并不关注，也没有意识关注网络安全。 因此，对于普通的用车用户来说，强制建立正确的安全保障是不现实的，所以，确保设备本身以及通信加密应该始终是供应商的责任。 政府在电动车网络安全方面的作用 有人表示，政府应该对公司及运营商制定标准，以防止网络安全漏洞。例如，桑迪亚国家实验室（Sandia National Laboratories）建议采取一系列措施来加强网络安全，包括改善电动汽车车主的身份验证和授权，为充电桩的云组件增加更多安全性，以及加强充电装置以防止物理篡改。 目前市面上电动汽车充电桩的运营商，都是以营利为目的公司，出于预算的考虑，他们基本不会选择最安全的网络实施方案。这种时候，政府可以通过加强规范、标准和和制定相关的行业法规来约束车企及运营商，同时进一步保护用户免受网络攻击的威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359416.html 封面来源于网络，如有侵权请联系删除  

白宫发布了一项新的网络安全战略，其中涉及大型科技公司在防止网络攻击方面的作用。该战略文件呼吁”重新平衡保卫网络空间的责任”，将勒索软件攻击等方面的责任从个人、小企业和地方政府身上转移。 乔-拜登总统的计划概述了目标，而不是立即实施的规则。但如果通过成为法律和法规，它将扩大对运行白宫认为关键的数字基础设施的公司的网络安全要求。这可能包括为网络基础设施的很大一部分提供动力的云计算服务–它们必须满足最低安全标准，否则将面临法律责任。该战略要求政府机构通过税收减免或其他激励措施鼓励合规。 除此之外，政府表示，它将与国会合作，阻止软件公司在没有采取合理的安全预防措施的情况下运送产品而逃避责任。战略文件说：”制造软件的公司必须有创新的自由，但当他们未能履行他们对消费者、企业或关键基础设施供应商的责任时，他们也必须承担责任。” 根据拜登政府的说法，其目标是支撑起一个数字生态系统，该系统让许多人只能使用自己的设备（通常是不安全的）。文件说：”一个人一时的判断失误，使用一个过时的密码，或错误地点击一个可疑的链接，不应该有国家安全的后果。保护数据和确保关键系统的可靠性必须是持有我们的数据并使我们的社会运作的系统的所有者和经营者的责任，也是建造和服务这些系统的技术供应商的责任。” 该文件指出，日益增长的勒索软件计划的威胁是一个特别关注的领域。除了关闭运行勒索软件的行动者的活动外，它还呼吁各机构对帮助勒索软件盈利的”非法加密货币交易所”采取行动，这是2022年旨在监管数字资产的命令。 拜登的战略取代了前总统唐纳德-特朗普时期制定的一份2018年文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7206045855139234339/ 封面来源于网络，如有侵权请联系删除

2023 年 3 月 2 日，无锡市举行涉疫个人数据销毁仪式，首批销毁 10 亿余条此前出于疫情防控及服务目的存储在城市大数据中心的个人信息数据。 为确保数据彻底销毁、无法还原，无锡还邀请了第三方审计和公证处参与工作。至此，无锡市第一批涉疫个人数据实现成功销毁，全力保障了公民个人数据安全。同时，门铃码、疫查通、货运通行证等 40 多项“数字防疫”应用，也于当天功成身退，陆续下线。 对于这一消息，不少网友纷纷留言：感动、支持、认真负责、大赞…… 无锡市的标准答案 回顾 2022 年年底，我国疫情防控取得了决定性胜利，疫情防控进入常态化的阶段，那么此前收集的海量公民个人数据如何处理，成为大家关心的问题。FreeBuf 曾发文“行程卡下线，健康码将退出舞台，我们的数据该如何处理？”，就这一话题进行讨论和分享。 那时，还有无数人担心自己的个人数据安不安全，会不会存在泄露的风险？现在，无锡市给出了一个标准答案。 随着首批数据正式销毁成功，接下来必定还会有越来越多的个人涉疫数据被销毁，其他的省市地区必定也会跟上节奏，全国个人涉疫数据销毁指日可待。 据“无锡平安”公众号发文，无锡市“数字防疫”服务上线以来，共搜集了 10 亿条个人数据，主要用于核酸筛查、流调溯源、外防输入性疫情、重点人群核酸检测等用途，为确保疫情防控顺利进行，提供坚实的数据支撑。 “此次销毁涉疫个人数据，一是体现了依法执政理念，依法依规删除目的已经实现的数据；二是保护了公民隐私，防止数字时代公民个人信息被盗用或滥用；三是防止了数据泄露，通过数据彻底销毁减少数据泄露的可能性；四是节约了存储空间，进一步提高存储效率。” “下一步，城市大数据中心将进一步加强数据分类分级管理，数据安全风险评估、监测预警、数据安全审查等制度建设，确保数据无法被恢复。 同时持续加强对技术运维人员的安全教育，加强数据安全合规理念，提升全员数据安全意识，严格禁止私下留存、转移涉疫数据等行为，全力保障公民个人隐私。” 事实上，无锡并不是第一个销毁涉疫数据的城市。在此之前，不少省市地区都曾表示要“按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规有关规定，采取严格的技术和管理措施，依法依规保障个人信息安全。停止相关服务后，彻底删除、销毁服务相关所有数据，切实保障个人信息安全。” 但是，这些消息都不如无锡市此次数据销毁来的直接与令人信服。涉疫个人数据体量之大、影响范围之广，关注度之高都远超其他类型的数据，以一种公开、透明的方式来处理好这些数据，不仅让公民安心，也展现出我国对于公民个人信息保护的态度与决心。 当下，数字经济驱动全球发展，而数据负责驱动数字经济，数据安全与治理则是数据正常使用的前提，是其发挥核心要素作用的基础。 不得不说，这一次无锡好样的，为你疯狂点赞！   转自 Freebuf，原文链接：https://www.freebuf.com/news/359237.html 封面来源于网络，如有侵权请联系删除

美国众议院外交事务委员会周三按照党派路线投票，授予乔·拜登总统禁止 TikTok 的权力，这将是美国对任何社交媒体应用程序的影响最深远的限制。立法者以 24 票对 16 票通过了这项措施，授予政府新的权力，以禁止字节跳动拥有的应用程序 。目前超过 1 亿美国人使用，以及其他被认为存在安全风险的应用程序。 发起该法案的委员会共和党主席、代表迈克尔·麦考尔 (Michael McCaul) 说：“TikTok 是一种国家安全威胁，是时候采取行动了。任何在他们的设备上下载 TikTok 的人都给了获取他们所有个人信息的后门。这是一个进入他们手机的间谍气球。” 民主党人反对该法案，称它仓促行事，需要通过与专家的辩论和磋商进行尽职调查。该法案没有具体说明该禁令将如何运作，但赋予拜登禁止与 TikTok 进行任何交易的权力，这反过来可能会阻止美国任何人在手机上访问或下载该应用程序。 该法案还要求拜登禁止任何“可能”将敏感个人数据转移到受中国影响的实体。 白宫本周给政府机构 30 天的时间来确保 TikTok 不在任何联邦设备和系统上。美国 30 多个州、加拿大和欧盟的政策机构也禁止 TikTok 被加载到国有设备上。 最新措施的命运仍不确定，在成为法律之前面临重大障碍。该法案需要由民主党控制的众议院和参议院全体通过，然后才能交给拜登。 “美国对 TikTok 的禁令是禁止向全球使用我们服务的十亿人出口美国文化和价值观，”TikTok 发言人在投票后表示。 拜登政府没有说明是否支持推进该法案，也没有回答是否认为拜登现在拥有禁止 TikTok 的合法权力。 该委员会的最高民主党代表格雷戈里米克斯表示，他强烈反对这项立法，但理解对 TikTok 的担忧。米克斯说：“共和党本能地禁止它害怕的事情，从书籍到言论，似乎不受约束。”他补充说，该法案将要求政府制裁 TikTok 和 TikTok 母公司的其他子公司。 美国政府的外国投资委员会（CFIUS）是一个强大的国家安全机构，由于担心用户数据可能会被传递，2020 年一致建议字节跳动剥离 TikTok。 TikTok 和 CFIUS 已经就数据安全要求进行了两年多的谈判。TikTok 表示，它已花费超过 15 亿美元（22 亿澳元）用于严格的数据安全工作，并拒绝接受间谍指控。米克斯希望会谈继续进行。 美国公民自由联盟呼吁立法者反对该法案，称其“严重侵犯了我们的第一修正案权利”。 麦考尔在投票后告诉路透社，他预计该法案将在本月由众议院进行表决。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/CF54C7g3EthkXrmhNGaWjg 封面来源于网络，如有侵权请联系删除  

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。 BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，就是可以把受害者的电脑变成“肉鸡”） 报告称，开发者以5000美元（以及每个新的后续版本200美元）的价格出售BlackLotus，其工具包使用Assembly和C开发，文件大小仅有80KB。 BlackLotus还有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。 有关BlackLotus的信息最早于2022年10月首次公开，当时卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件工具。 Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公开售卖是一次飞越，在易用性、可扩展性、可访问性方面都有重大突破，更重要的是，其持久性、逃避和/或破坏的能力构成重大潜在威胁。” 根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用UEFI安全启动的系统上执行恶意操作，而无需物理访问它。 虽然微软在2022年1月的补丁星期二更新中修复了Baton Drop漏洞，但ESET研究人员Martin Smolár表示：“对该漏洞的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”BlackLotus利用了这一点，将其自己的合法但存在漏洞的二进制文件拷贝带到系统中以利用该漏洞，也就是所谓的自带易受攻击驱动程序(BYOVD)攻击。 除了可以关闭BitLocker、Hypervisor保护的代码完整性(HVCI)和Windows Defender等安全机制外，BlackLotus还可删除内核驱动程序和与命令和控制(C2)服务器通信的HTTP下载程序，以检索其他用户模式或内核模式恶意软件。 用于部署BlackLotus的确切操作方式目前尚不清楚，报告称它从安装一个程序组件开始，该组件负责将文件写入EFI系统分区，禁用HVCI和BitLocker，然后重新启动主机。 重启之后将武器化CVE-2022-21894漏洞以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。 该驱动程序的任务是启动用户模式HTTP下载工具并运行下一阶段的内核模式负载，后者能够执行通过HTTPS从C2服务器接收的命令。包括下载和执行内核驱动程序、DLL或常规可执行文件；获取bootkit更新，甚至从受感染的系统中卸载bootkit。 “UEFI的沦陷并非偶然。在过去几年中，业界发现了许多影响UEFI系统安全的高危漏洞，”Smolár说：“不幸的是，由于整个UEFI生态系统和供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，大量系统仍然存在漏洞并容易遭受攻击。”     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/sy6MHFg_NgrqQGoLGKSWkg 封面来源于网络，如有侵权请联系删除

联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议，以更好地保护用户的安全。伊斯特利说，使用这些公司的多因素认证（MFA）的用户数量”令人失望”，但赞扬了苹果公司在iCloud用户中的MFA高使用率。 周一，伊斯特利在卡内基梅隆大学发表演讲，其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称，95%的苹果iCloud用户使用多因素认证，并解释说，高采用率是由于该公司决定将该功能作为默认功能。据此，Easterly将这一数字与微软和Twitter目前的MFA使用率进行了比较，其中前者只有四分之一的企业客户使用，而后者只有不到3%的用户使用。 虽然Easterly称赞这些公司分享了他们服务中的MFA使用数字，但她表示需要新的立法来坚定地对待这些必须提供有效安全做法的企业。根据Easterly的说法，法律需要”防止技术制造商通过合同免除责任，为特定的关键基础设施实体的软件建立更高的护理标准，并推动安全港框架的发展，使那些安全地开发和维护其软件产品和服务的公司免于承担责任。” 多因素认证只是用户在网络安全领域可以采取的确保安全的步骤之一。然而，如果没有公司本身的启动，大多数客户确实倾向于忽视采用这样的安全措施。尽管如此，向客户推送这样的功能，只是像微软这样的公司为确保客户的安全应该做的许多事情之一。但是，即使有一堆不同的安全努力，一时的失败似乎也是任何企业的一部分。 例如，微软在2019年遇到了其MFA的一个普遍问题，尽管该公司在经过数小时的调查后设法解决了这个问题。同时，在去年10月，据透露，由于过时的脆弱驱动程序阻止列表和低效的安全保护功能，其用户已经被暴露在恶意驱动程序中三年了。     转自 CnBeta，原文链接：https://www.toutiao.com/article/7205129143225319991/ 封面来源于网络，如有侵权请联系删除

2月27日，卡巴斯基公布的《2022 年移动威胁》显示，去年出现了近20万个新型手机银行木马，比前一年增长了 100%，达到了近六年来的最快增幅。 2019-2022卡巴斯基检测到的移动银行木马数量 报告列出了在检出次数中排名前10的手机银行木马，显示名为Trojan-Banker.AndroidOS.Bian.h的木马达到了接近30%的比例。 检测到的次数最多的手机银行木马Top 10 报告也统计了被攻击用户排名前 10 的国家及地区，显示西班牙受到攻击的独立用户最多，而其中 85.90% 的受影响用户是被上述排名第一的 Trojan-Banker.AndroidOS.Bian.h所攻击。 受手机银行木马攻击的用户所在国家/地区Top 10 报告指出，虽然在非官方应用商店最有可能遭遇银行木马，但 Google Play 已经反复充斥着伪装成正常软件的银行木马下载程序，例如Sharkbot、Anatsa/Teaban、Octo/Coper 和 Xenomorph。其中Sharkbot 伪装成一个文件管理器，这种类型的软件能够请求更多系统权限，以安装其他恶意软件包来执行恶意银行木马活动。 在Google Play上伪装成文件管理器的手机银行木马Sharkbot 银行木马旨在窃取手机银行帐户凭证或电子支付详细信息，但它们通常可以重新用于其他类型的数据窃取或安装其他恶意软件，例如Emotet和TrickBot之类臭名昭著的恶意软件变种最初就源于银行木马。 报告认为，银行木马开发的急剧增加表明网络犯罪分子正以移动用户为目标，虽然网络犯罪活动在 2022 年总体趋于平稳，攻击数量在 2021 年有所下降后保持稳定，但也说明网络犯罪分子仍在努力改进恶意软件功能和传播媒介，用户需要警惕官方应用市场和虚假热门程序下载广告中隐藏的恶意木马。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358895.html 封面来源于网络，如有侵权请联系删除

近日，欧盟委员会已经禁止员工在其公司设备以及加入委员会移动设备服务的个人设备上使用TikTok应用程序。根据委员会周四发表的一篇博文，此举旨在保护委员会免受网络安全威胁，指示员工须于3月15日前从有公务用途的手机上卸载抖音海外版TikTok。 文章说：”这项措施符合委员会严格的内部网络安全政策，即使用移动设备进行与工作有关的通信，它补充了委员会对工作人员的长期建议，即在使用社交媒体平台时采用最佳做法，并在日常工作中保持高水平的网络意识。” “该措施符合欧盟委员会关于使用移动设备进行工作相关通信的严格内部网络安全政策。它补充了委员会的长期建议，即员工在使用社交媒体平台时应用最佳做法，并在日常工作中保持高水平的网络意识。” 委员会还表示，将继续审查其他社交媒体平台的安全发展。 委员会发言人Sonya Gospodinova周四在Twitter上写到：“委员会致力于确保其工作人员得到很好的保护，以应对日益增加的网络威胁和事件，因此，我们有责任尽可能早地对潜在的网络警报做出反应。” Gospodinova和欧盟委员会首席发言人Eric Mamer强调了该决定背后的理由，并补充说该禁令是 “暂时的”，正在不断审查和可能的重新评估。” 另有报道称，欧盟理事会也将采取类似禁令，但欧洲议会尚无跟进动向。在欧盟27个成员国中，也几乎没有哪个国家对TikTok下禁令。但有报道称，荷兰总务部去年11月建议当地公务员暂停使用TikTok，直至该平台对数据保护政策做出调整。据悉，TikTok在荷兰人气颇高，约有350万名用户。 此举是在TikTok证实欧洲大陆以外的一些员工可以访问欧洲用户的数据几个月之后。 TikTok欧洲公共政策副总裁Theo Bertram在Twitter上表示”我们还没有得到任何解释。在3月15日停职生效之前，我们希望能够了解是否有任何具体的担忧，并有机会解决这些问题。” 这项禁令发生在TikTok今年年初，在1月份曾被法国数据保护监管机构罚款500万欧元（540万美元），原因是没有向用户提供足够的cookie收集信息。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/lCIgW7XzpRRnj0BGTSy0pg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，2022 年，谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金，为安全研究人员报告的 2900 多个漏洞，支付超 1200 万美元。 2022年，谷歌漏洞奖励总额跃升至1200万美元 （来源：谷歌） 安卓漏洞赏金计划 近期，谷歌发布了漏洞奖励计划（VRPs）的统计数据，详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。 资料显示，最大单笔报酬发给了 gzobqq ，其在提交的报告中详细说明了安卓系统中五个漏洞（CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460）的利用链，一共获得了 60.5 万美元的奖励。 值得一提的是，2021年，gzobqq 发现并报告了安卓系统中的另一个关键漏洞链，获得了 15.7 万美元的奖励，该金额是当时安卓系统 VRP 历史上最高的漏洞赏金。通常情况下，通过谷歌 VRP 提交安卓漏洞的赏金最高为 1 万美元，但对于漏洞链，提供者最高可获得的赏金高达 100 万美元。 2022 年，谷歌为数百个安卓漏洞支付了 480 万美元的奖励，报告大多数漏洞的顶级研究人员主要是以下几位： Bugsmirror 的 Aman Pandey：超过 200 个漏洞 OPPO 琥珀安全实验室的 Zinuo Han：150 个漏洞 Yu-Cheng Lin：近 100 个漏洞 2022 年，谷歌还通过其与安卓芯片组制造商合作提供的私人奖励计划 ACSRP，为 700 份漏洞安全报告提供了 48.6 万美元的奖励。 Chrome 和 OSS 的奖励 2022 年，谷歌公司还为 Chrome 浏览器中的 363 个漏洞和 ChromeOS 中的 110 个安全漏洞支付了总计 400 万美元的赏金。 除了向研究人员发放奖金外，谷歌还向 170 多名研究人员发放了超过 25 万美元的赠款。这些资金用于关注谷歌产品和服务的个人研究员，即使他们没有发现任何漏洞。 2022 年，谷歌为通过漏洞奖励计划提交的报告支付了 703 名研究人员的费用，并成为 NahamCon 和 BountyCon 安全相关会议的赞助商。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/358421.html 封面来源于网络，如有侵权请联系删除