Posts

DeepSeek iOS应用被曝存在严重传输安全漏洞，用户数据未加密流向字节跳动旗下火山引擎，引发全球警戒。安全审计发现该应用未启用应用传输安全（ATS），且采用已被淘汰的3DES加密算法，导致敏感数据易被截取。多国政府已发布禁用令，黑客组织利用漏洞发起DDoS攻击和钓鱼网站集群攻击。安全机构建议用户立即停用该应用，企业应部署防御措施。此次事件凸显了用户隐私在科技巨头与主权国家博弈中的脆弱性。

在 FastAPI 项目中，集成测试通过事务回滚机制确保测试环境的干净性。使用 pytest、SQLAlchemy 和 FastAPI TestClient 组合，实现数据库事务的嵌套控制，测试中的所有数据库操作在用例结束时自动回滚。通过 begin_nested() 创建保存点，确保每个测试用例在独立的事务中执行，避免数据污染。测试案例模拟用户注册和资料修改，验证数据库写入和接口请求的正确性。常见问题如 IntegrityError 和连接未释放，通过检查事务回滚机制和显式关闭连接解决。

网件（Netgear）近日披露其XR、WAX系列多款路由器存在高危漏洞，涉及身份验证绕过和远程代码执行（RCE）风险。攻击者可绕过验证机制并远程控制设备，无需用户交互，可能导致僵尸网络、DDoS攻击或数据窃取。受影响设备包括XR1000、WAX206等，网件已发布修复固件。用户需立即升级固件，关闭远程管理功能，并启用防火墙限制访问。CISA将漏洞列为高危，建议优先修复。网件路由器市场占有率超20%，攻击者可能短期内批量扫描暴露设备，需尽快完成修复。

苹果公司于2024年2月11日紧急发布iOS 18.3.1安全更新，修复了两个高危漏洞。其中，ProactiveSummarization框架配置文件漏洞可能导致隐私信息泄露，而USB限制模式绕过漏洞则允许攻击者通过物理接触设备绕过数据封锁，威胁敏感数据安全。苹果强调，这些漏洞可能被主动利用，建议所有兼容设备立即升级，尤其是企业高管、记者等高风险群体。此次更新对物理破解攻击的防御具有重要意义，企业需结合系统更新和物理安防措施以增强安全性。

暗网市场近期出现涉及Windows内核级零日漏洞（代号"EDR Killer"）及两项本地权限提升（LTE）漏洞的交易活动。这些漏洞可绕过Windows操作系统的核心防御机制，对全球企业服务器、政府机构及关键基础设施构成系统性威胁。漏洞套件标价达12万至15万美元，暗网交易平台已出现针对金融、能源行业买家的定向推广。微软安全响应中心尚未发布相关安全公告，企业需在补丁发布前依赖深度防御架构抵御威胁。

2025年4月16日，4chan遭遇重大安全漏洞，黑客窃取了后台管理系统源代码、管理员名单、封禁模板及付费订阅用户个人信息等敏感数据。攻击者声称已潜伏一年，可能持有更多未公开数据。4chan长期依赖过时的技术架构，缺乏多因素认证，此前曾收到安全警告但未修复。此次攻击动机或为政治性破坏，管理员名单和源码泄露可能导致报复性攻击和仿冒站点。用户需立即更换密码、启用多因素认证并监控账户异常活动。