该网站域名为sdklioxpbd7whqbvhnderrd3dz67rkmdpb4j533xtff34fonqrt4wxyd.onion，自称为“正版中文担保交易市场 – 一个小高端中文安全买卖平台正版中文担保交易市场”，实为诈骗网站，使用的是忽悠充值的低端骗术。坚决予以曝光，请网友们小心提防。 “Kirin博客”近日接热心网友“龙珠”举报，某中文暗网担保交易市场是诈骗网站，并称“是的，我就是被骗者”，数额还比较巨大，真是血的教训。热心网友“龙珠”给出了该网站的暗网网站V3的URL地址。接举报后，“Kirin博客”对该网站进行了仔细分析。 热心网友“龙珠”提供的诈骗市场的暗网onion域名为：http://sdklioxpbd7whqbvhnderrd3dz67rkmdpb4j533xtff34fonqrt4wxyd.onion 在“666暗网导航”里检索，未看到该网站的链接。访问该网站，可以看到该网站自称为“正版中文担保交易市场 – 一个小高端中文安全买卖平台正版中文担保交易市场”，该网站使用WordPress搭建，最早应该在2019年前就投入使用，当年使用的V2域名为：http://txxh4o2gcjjxhfjg.onion。 该网站上显示的建站时间为：2018-06-01 21:51:00，号称“已安全运行1331天”。网站上充满了骗人的话术：“本站极力维护用户权益，将欺诈扼杀于摇篮，从来没有一起欺骗能在本站成功。买家资金安全，是我们的生命线。”，“相信我们，是你人生新的开端。遇见你，是我们努力的意义。” 该网站的热门商品包括： 100%安全支付宝转账 超低价购买BTC钱包（快速资产翻倍） 你要什么我帮你刷到你手里 暗网信贷服务（借款入口） 3天赚15%的BTC 短信嗅探技术设备出售GSM Sniffing 用玄学手段帮助你 超出市场25%价格收购BTC/LTC 暗黑转账王2.3中文版 日本女优让你为所欲为 月赚百万美元 网友“龙珠”说”这个狗子，做的好全，看讨论啊，网站的种种信息，和商家评论都很真实，感觉毫无破绽似的，站内信息在下单购买之前，有问必答。“ 可是，当“龙珠”下单之后，该网站站长”就会玩消失，任何方式联系不上，而且商家也不给任何回应，很明显，就是被骗了。 网友“龙珠”在该网站充值比特币0.0746个，当时价值约合2800刀，交易记录为： https://www.blockchain.com/btc/tx/1e62fa9854c11bc3d630b5d2b648d1e21e0dc8720ea1184cdf490ecb9d85a39d 经检查，该网站并没有提供自己的比特币地址，而是使用的https://www.blockonomics.co/的支付网关功能收款，我们也提醒并建议“龙珠”网友向blockonomics.co支付网站的客服进行举报，提供被骗的证据。 “Kirin博客”近期正在联系”666暗网导航“，请求联合”666暗网导航“创建一个暗网中文网站的黑名单，对于此类明显诈骗且证据确凿的网站，一律展示在黑名单中。目前正在等待”666暗网导航“官方的响应。 更多暗网新闻动态，请关注“Kirin博客”。 ...

徐州检察的年终总结点到了“‘茶马古道’暗网交易市场案等一批重点案件”，并配了“茶马古道”暗网交易市场的网站截图，足以证明“茶马古道”暗网交易市场已被警方打击并移交检察机关受理审查起诉了。 “Kirin博客”一直在跟进当前暗网上中文暗网交易网站的近况，前几天刚刚梳理了五家2021年死去的暗网交易市场，其中包括“茶马古道”暗网交易市场（http://7zj4oshsyhokgus6fyk7pmdiubu4mkjpjjprjkvopnhnwylr522tymqd.onion）。 该市场自我介绍“销售数据、账户、药品、漏洞、色情影视、实体商品等，注册后以美元、比特币交易”。2021年，“Kirin博客”曾经跟踪报道了“茶马古道”暗网交易市场的卷币事件，并证实其侵吞了用户的大量比特币！ 自去年年底以来，该网站就无法访问了，而且已经超过两个月。“Kirin博客”前期分析要么是“退出骗局”要么被警方打击。 近日，有网友提供了一个绝对可靠的情报，并给出了证据，足以证实“茶马古道”暗网交易市场已被警方摧毁！“Kirin博客”核实，虽然目前为止没有看到警方给出确切的公告，但是在一份检察机关的年终总结里确实看到了只言片语。 在1月12日江苏发行的报纸《扬子晚报》发表了一篇文章《徐州检察从严打击电信网络诈骗犯罪 以这两个罪名去年共起诉1724人》： 扬子晚报网1月12日讯（记者 刘浏）徐州市检察机关认真落实江苏省人大代表建议，从严打击电信网络诈骗犯罪，2021年共受理审查逮捕计算机网络犯罪案件194件306人，批准逮捕179人；受理审查起诉493件956人，起诉305件652人。积极参与“断卡行动”，打击电信网络诈骗及黑灰产业链关联犯罪，受理审查逮捕384件693人，批准逮捕428人；受理审查起诉700件1495人，起诉1072人。 徐州市检察院成立了上下两级检察院、刑事检察和技术部门联合的网络犯罪案件办理业务指导组，制作了《网络犯罪案件办理资料汇编》，强化办案指导，提升办案质量。徐州市检察机关依法办理了“小果”接码平台案、“茶马古道”暗网交易市场案等一批重点案件。徐州市铜山区检察院办理了一起特大网络交友诈骗案，该案犯罪嫌疑人研发聊天平台、招揽大量主播，以主播约见面发生性关系为诱饵，诈骗国内多个省份男性被害人，受害群众2700余人，涉案金额3000余万元，全案涉案人员102人。 其中点到了“‘茶马古道’暗网交易市场案等一批重点案件”，并配了“茶马古道”暗网交易市场的网站截图，足以证明“茶马古道”暗网交易市场已被警方打击并移交检察机关受理审查起诉了。 这虽然不是中国警方捣毁的第一个中文暗网平台，但却是官方报道的中国警方检方摧毁打击的第一个中文暗网交易市场。由此可以看出，官方对于暗网上的网络犯罪打击的坚定决心！对于其他的中文暗网交易市场的发展与结局，“Kirin博客”将继续关注。 更多暗网新闻动态，请关注“Kirin博客”。 ...

速度数量时间有限！ 微信扫码领取 答案 ABABA CACCB ...

一名来自Delfzijl的41岁男子被判处6个月监禁，其中一半缓期执行，原因是他想购买枪支，而警察假装是卖家。 公诉机关要求对一名来自代尔夫宰尔（Delfzijl）的45岁的人判处6个月监禁，其中一半是缓刑。嫌疑人想要在暗网购买非法武器时被澳大利亚警方告发。 澳大利亚警方通过监控暗网注意到，该男子正在暗网（互联网的地下部分）上寻找武器。从具有斯洛文尼亚国籍的犯罪嫌疑人的电子邮件流量中可以清楚地看出这一点。 部署卧底探员 荷兰警方接到了澳大利亚警方通知后，安排一名卧底警察假装是销**屏蔽敏感词**的军火商。只要花1500欧元，这个人就可以得到一部贝雷塔（Beretta）92FS手枪。警方诱使嫌疑人与卧底探员于2020年7月在兹沃勒一家酒店的停车场约谈，该男子在所谓的军火交易之前被捕。 “对武器的迷恋” 当他被捕时，1500欧元的现金和他的手机被扣押。他的手机里有三百张枪支的照片，包括贝雷塔和格洛克等品牌。据专家称，他“对枪支着迷”。 射击俱乐部成员 该男子自2019年以来一直住在荷兰，定居在代尔夫宰尔（Delfzijl），是一名独立企业家。在斯洛文尼亚，他积极参与射击运动，他在那个国家有这方面的许可执照。听证会上，嫌疑人表示不了解荷兰有关武器的法律法规。 经常做生意 公诉人认为这证明该男子想要做生意。他出现在兹沃勒，口袋里有钱，他告诉卧底探员，他想买更多的枪支，做更多生意。 嫌疑人在听证会上说，他已经吸取了教训：“这很愚蠢，我对枪支的好奇心已经完全消失了。“ 空白犯罪记录 他的律师要求法庭考虑她的当事人的无犯罪记录以及他的生活和工作状况：“这在判处监禁的情况下构成了危险。” 他将无法拿回他口袋里的钱，判决将在两星期后作出。 ...

拜登拟对加密货币发布行政命令以加强监管。 因波动性巨大，加密货币面临来自四面八方的监管压力。周五，据外媒报道，知情人士透露，拜登政府准备最早下月发布整个政府的数字资产战略，并要求联邦机构评估其带来的风险和机遇。 据悉，此前政府官员已就该计划讨论多次，目前正在将方案草拟成行政令形式，白宫或将成为处理加密货币事务的中心。该框架将涉及一系列官僚机构，包括财政部、金融监管机构、商务部、国家科学基金会和国家安全机构等。 多年来，由于联邦机构采取的是“分散式管理”，外界仍施压白宫应发挥领导作用。一位政府官员称，白宫的目标是对加密货币采取统一的监管方法。  拜登任命的金融监管机构在寻求加强对资产类别的监管时，对新兴的加密市场采取了越来越强硬的态度。随着加密市场规模膨胀至超过2万亿美元，监管机构对其缺乏投资者保护以及威胁金融稳定的风险表示担忧。 由于美债收益率上升带来的压力，美国科技股暴跌，比特币、以太币和其他数字货币的价格都未能幸免。 美国亿万富翁投资者、比特币大多头迈克-诺沃格拉茨警告称，如果股市继续下跌，加密货币将难以摆脱抛售，并敦促投资者不要逢低买入。 诺沃格拉茨上周四发推称：“在股市触底之前，加密货币将很难出现反弹。现在是熊市，逢高卖出，不要逢低买入。” 而上周较早时诺沃格拉茨警告称，只要利率走高，加密货币资产和纳斯达克指数就会面临压力。他在推特上暗示，市场可能还有一线希望。他表示： “也就是说，加密货币已经出现了一个理性的抛售状况，并且正在遇到一些买盘支持。” 不过，在诺沃格拉茨发布上述言论后，加密货币持续下跌，周末一度跌破35000美元，周一亚盘前，比特币短线走高1000美元，目前在36000美元附近徘徊。 诺沃格拉茨是知名比特币多头，他上月曾表示，比特币可能在42000美元左右得到支撑，本月较早时又改口称，预计比特币将在38000美元左右触底。 ...

赢了！赢了！赢了！ 2月3日晚，在女足亚洲杯半决赛中， 中国女足姑娘们的顽强不屈终于收到回报，点球大战淘汰日本队，以总比分6:5昂首闯入亚洲杯决赛。中国女足时隔14年再进亚洲杯决赛。 中国女足主力王霜缺阵，后防不齐整，场上局面并不占优，但姑娘们展现出的拼搏精神和职业态度值得称道。在120分钟的比赛中两度落后，两度扳平，并最终在点球大战中笑到最后。面对强手应该拿出怎样的态度，中国女足做出了榜样。 为中国女足姑娘们点赞！ ...

前言 你真的了解对方的ta吗？你身边很多朋友你真的了解吗？例如你身边的朋友，对象，你真的了解ta吗？你知道他信用怎么样，他身上有未结清的债款吗？他犯过罪吗？今年教大家合法地，更全部的了解对方的ta。 想看ta到底是不是”老赖” 打开中国执行信息公开网;http://zxgk.court.gov.cn 输入“姓名”+“身份证”查询ta的信用记录是不是失信人员 如果ta是 “老赖” 的话：不能做高铁飞机、几乎不能贷款买房买车、孩子不能上贵族学校也不能高消费 想看ta的婚史 打开中国裁判文书网https://wenshu.court.gov.cn 输入 “姓名”查询ta：有没有被起诉过离婚（离婚也可能未经过起讼）、有没有判过刑、坐过牢 想看ta是否开公司 打开国家企业信用信息公式系统http://www.gsxt.gov.cn 输入“姓名” 查询ta公司是否异常 ...

蔡斌（资料图） 中国排球协会3日公布国家女排新一届主教练选聘结果，聘任蔡斌为中国女排新任主帅。 ...

...

话说， 在外国，一群自称“非自愿独身（incel）”的男性群体正在引起越来越多的争议——欧美发达国家们正在考虑将这个群体和“白人至上主义”、“极右翼群体”并列为容易发起恐怖袭击的高危人群之一。 最近8年间，“incel”的男性成员已经在美国、加拿大、英国等国制造了多起大规模袭击案件，造成数十人死亡，上百人受伤。而每场残酷的袭击，都和“incel”背后的观念息息相关。 这群“非自愿独身”的男性多为感情空白，从未恋爱，从未和女性发生过关系，而最终这些结果在他们看来主导原因却是由于女性们“拜金”，只欣赏那些外貌和经济实力俱佳，擅长形象管理和社交的魅力男性(他们被incel称之为“chads”)， 于是，有魅力的女性往往只会去找有魅力的男人，对于他们incel来说，只能去找没有魅力的平常人。 这些思想观念在incel的社区内广泛传播，Incel 团体在网上煽动暴力和厌女症，许多社区和论坛版块因其极端内容而被下线。 而近些年来，多起和incel有关的仇恨袭击不断发生。 而如今，根据英国反在线仇恨中心(CCDH)的网络流量监控显示，英国最大的3个incel网站访问量在去年8个月间飙升5倍，去年3月仅有11万次访问量，而去年11月访问量已经增加到近64万次！ 研究人员还发现，如今英国incel网站上有很多歌颂枪手Jake Davison的帖子， 去年8月，22岁的Jake Davison在英国普利茅斯发动了一起大规模枪杀事件， 在首先杀掉了51岁的母亲后，他在接下来的十分钟内连续开枪杀害了4名附近的路人，其中包括一名年仅3岁的女童，随后他自己也吞弹自尽。 而在这场震惊全英的仇恨犯罪之后，调查人员很快发现这名枪手和incel社区联系紧密，不仅录视频表示自己已经被生活完全打败，没有任何社会支持孤立无援，性格内向，人生只有失败，还反复嘲讽自己“处男”、“肥胖”和“丑陋”，不知道去哪里结交女性朋友。 最终，精通枪支配件并拥有持枪许可的他发动了这场悲剧枪击案。 而在这起悲剧发生后，英国incel在线社区却又许多发帖者称赞他为“英雄”，同时incel社区的访问量也不断激增。 看起来，这名22岁“肥宅处男”的新闻激起了来自英国国内许多incel的共鸣和认同，甚至变相地唤起了他们内心长期以来的不满和仇恨，在他的“追随者”中，不知道日后是否会有疯狂的incel效仿。 这种担心不是杞人忧天，在美国和加拿大，多起incel极端仇恨案件已经发生过“连锁反应”，一名incel的仇恨报复之后，是更多人以此为榜样，甚至为“使命”的追随… 2018年，多伦多市区发生了一起货车碾压事故，一辆疯狂行驶的货车朝着人行道加速开去，人群惊恐散开奔命，但因为事发突然，街道上人群密集，最终酿成10死16伤的严重车祸。 而警方却在抓捕肇事司机Alek Minassian后得出惊人结论：他是个仇恨女性的incel。 这次攻击他的主要动机就是对女性的憎恶，他甚至在攻击前已经于脸书上留下“战争宣言”，宣布发动“非自愿独身incel叛乱”，干掉那些有魅力的女性。 在警方询问他关于车祸结果10人死亡16人重伤的感受时，没有任何遗憾和后悔，他平静地表示自己感觉“完成了使命”。 而据他自己供述，他租借货车碾压无辜人群的灵感来自于另外两名知名的incel，包括2014年在美国加州大学附近的景岛发动汽车攻击，造成6死14伤的Elliot Rodger和2015年在俄勒冈州射杀9人后自杀的Chris Harper-Mercer。 此二人中的前者，22岁的Elliot Rodger一直是厌女社区被“神化”的英雄人物。 这名22岁的“处男”在发动攻击前就曾表示他要“惩罚”那些拒绝他和“剥夺他性行为”的女性，让她们感到“恐惧”，同时也惩罚那些性活跃的男性，在攻击宣言之中，他还声称自己是位“终极的绅士”。 从他之后，incel的极端报复案件也越来越常见。这就包括2018年加拿大38岁的incel，Alek Minassian也突发奇想租来一辆货车驶向了人群，成为incel攻击中死伤最惨重的一例。 去年是incel发动攻击最多的一年，多伦多的一间按摩院里，一名未成年男性拿着一把砍刀刺死了一位女性店员，刺伤了她的两位同事。 美国亚利桑那一名incel发动的枪击案导致3人受伤，一名弗吉尼亚厌女男子在试图用炸药攻击人群，还有一名纽约厌女男子对一对夫妇进行的暴力威胁。 在这名27岁纽约厌女男子的案例中，两名受害者被其跟踪、恐吓和在社交媒体上假扮，最后被威胁谋杀，这名男子甚至已经开始对其中的女性受害者进行住所监视，还在网上详细研究了如何非法购买枪支，组装半自动步枪。 而还好在可能的悲剧发生前一步，FBI 纽约联合恐怖主义特别工作组提前抓住嫌疑人，如今这名incel正在等待审判结果宣布，预计将得到1至5年的刑期。 在FBI特工和纽约警局侦探截获的威胁信息中，他明确用incel的惯用语言对夫妻两人发起威胁， 他引用了“incel之神”Elliot Rodger2014年袭击案受害者的照片警告其中的妻子， “当一名女性对Elliot Rodger说‘不’时，就会发生这种情况。希望你永远不会对像 Elliot Rodger这样的人说不。” “当你和我都死了，我们将永远在一起在天堂。” “女性除了朝我脸上吐唾沫之外什么也没做。很快我就会得到一把枪。” 听起来，这些话和那些极端团体的威胁话语风格如出一辙，让人毛骨悚然，时刻担心自己的人身安全。 而这些越来越活跃的incel威胁、差点或已经实施的暴力犯罪也在当今社会越来越多见。 男性至上主义研究所执行主任、关于“厌恶女性的暴力”报告的作者之一Alex DiBranco表示，与 Incel 相关的暴力“似乎正在增加”，同时，尽管受到越来越多的关注，“它仍然没有得到应有的重视。” “毫无疑问，incel 社区被一种宣扬仇恨女性的意识形态联系在一起，并激发了致命的现实世界攻击。” 如今，欧美诸国正在针对incel犯罪探讨是否该将其纳入恐怖主义的范畴，尽管有部分人认为比起恐怖主义，厌女更多反映的是一种严重社会心理问题， “incel他们很多都遭遇过霸凌，自己的人生很多方面失去掌控。” 但更多人认为，incel的极端主义思想已经反映在试图改造重组社会秩序，和其它恐怖主义及行径如出一辙的地步，根本不是简单的严重心理问题。 “在现在的incel社区中，甚至有很多人赞同’所有女性至少都该被性侵一次’。” 2018年多伦多的货车碾压人群案，加拿大创建先河首次将这场incel极端犯罪以恐怖活动的名义起诉，去年加拿大未成年的持刀捅杀按摩店女店员的案子也做了同样处理。 在如今极端思想和行为四起的世界，看起来，人们面临的来自这些小众群体的安全威胁也越来越多，弱势群体也更加容易成为目标。 2022年了，希望世界还是多些和平，少些来自内部的斗争吧…...

2021年的Top 10 里出现了3个新主题、4个命名与范围发生变化的主题，此外还进行了一些合并。 A01 :越权访问（2021-Broken Access Control） 从2017年的第5位上升至第1位。超过94%的app都经历过某种形式的越权访问控制测试。对应到越权访问有34个CWE，比任何其它在app中出现的主题次数都多。  A02：加密失败（2021-Cryptographic Failures ） 较2017年相比上升1位至第2位。以前被称为敏感数据公开（Sensitive Data Exposure），但只是一种基本症状表现，并不是根本原因。最新版OWASP重新聚焦于与密码学相关的缺陷，这些缺陷通常会导致敏感数据公开或系统受损。  A03：注入（2021-Injection） 较2017版相比下滑至第3位。超过94% 的app都针对各种形式的注入进行了测试。对应到注入有33 个CWE，在app中出现的次数位列第二。跨站脚本攻击（XSS）目前属于现版本中注入的一部分。  A04：不安全设计（2021-Insecure Design） 2021年Top 10的新主题，重点关注了与设计缺陷相关的风险。如果我们真的想作为一个行业发展，就需要更多地使用威胁模型分析、安全设计模式和原则以及参考架构。  A05：安全性错误配置（2021-Security Misconfiguration） 较前版的第6位相比上升1位。90% 的app都需要经过某种形式的错误配置测试。随着更多转向高度可配置的软件，也就不奇怪为什么这个主题排名能够上升了。之前的XXE主题现在也属于A05类别。  A06：易受攻击与过时组件（2021-Vulnerable and Outdated Components） 前版名称是“应用已知漏洞组件”（Known Vulnerabilities），在行业调查中位列第2，并有足够的数据通过数据分析进入Top 10排名。该类别从 2017 年的第9位上升，是一个难以测试和评估风险的已知问题。这是唯一没有任何CVE可以对应到已归结CWE的主题，因此以默认的利用和影响权重5.0计入评分标准。  A07：身份验证与认证失败（2021-Identification and Authentication Failures） 以前称为错误认证（Broken Authentication），从第2位下滑至第7位。现在包括与识别失败更多相关的 CWE。有着标准化框架可用性增加的帮助，该主题仍然是前10的一个组成部分。  A08：软件和数据完整性故障（2021-Software and Data Integrity Failures） 2021 年的一个新主题，着眼于在不验证完整性的情况下，做出与软件更新、关键数据和 CI/CD 管道相关的假设。CVE/CVSS 数据中最高加权影响之一可以对应到A08中的10个CWE。2017年的不安全反序列化（Insecure Deserialization） 现属于A08的一部分。  A09：安全日志记录和监控失败（2021- Security Logging and Monitoring Failures） 以前被称为日志记录和监控不足（ Insufficient Logging &Monitoring ）。是从行业调查第3位中添加的，从之前的第10位上升。A09被扩大成为一个能够包含更多故障类型的主题，对于我们进行测试有一定的挑战性，而且在 CVE/CVSS 数据中也没有很好的表现。但是，A09类故障会直接影响到可见（visibility）、事件警报（incident alerting）和取证（forensics）的准确性。  A10：服务器端请求伪造（2021-Server-Side Request Forgery） A10是直接从行业调查第1位中添加的。数据显示，在高于平均水平的测试里，A10的发生率相对较低，但Exploit和潜在的Impact都高于平均水平。这也正表示了行业专业人士在告诉我们，就算目前数据中没有显示出来，服务器请求伪造还是很重要的事实。  评选方式 新版Top 10的评选比以前都看重数据，但并非盲目受数据影响。OWASP从各方贡献的数据中选择了10个主题中的8个，然后从高水平行业调查中选择了剩下的2个。这样做的根本原因是，查看贡献的数据就等于是回顾过去。AppSec研究人员花了大量时间去寻找新的漏洞和测试它们的新方法，但将这些测试运用到实际工具和流程中还需要等待一段时间。等到能够可靠地进行大规模测试时，时间可能已经过去了很久。为了平衡这点，就应该将行业调查利用起来。去询问专业的一线人员，关于他们所发现的可能还尚未在数据中显示出来的漏洞。 这就是OWASP采用的为了使Top 10变得更加成熟的关键变化措施。  怎样归纳出各个主题？ 与上一期OWASP Top 10相比，一些主题发生了改变。以下是关于主题变更的高级摘要。以前的数据收集工作集中在大约 30 个CWE的规定子集上，并要求有1个额外发现的领域。OWASP了解到，组织将主要关注那 30 个 CWE，很少添加他们看到的其它CWE。本次迭代中OWASP完全抱着开放心态，只询问数据，对CWE没有设置任何限制。他们查询了从 2017 年开始测试的应用程序数量，以及在测试中发现至少一个 CWE实例的应用程序数量。这种形式使OWASP能够跟踪每个CWE在应用程序群体中的活跃程度。应用程序有4个CWE实例还是4000个实例，都不是影响进入Top 10的因素。在大约30个CWE到近400个CWE的跨度下，对数据集中进行了分析。未来将计划做额外的数据分析作为补充。这种在CWE数量需求上的增加会影响到提炼、归纳主题的方式。 OWASP用了好几个月的时间对 CWE 进行分组和分类，本需要再多花几个月，但他们不得不停下来。CWE可以分为“根本原因（root cause）”和“症状表现（symptom type）”类型，其中根本原因类型如“加密失败”和“错误配置”，可以和“敏感数据暴露”和“拒绝服务”等症状表现类型形成对比。OWASP决定尽可能关注根本原因，因为在提供识别和补救建议方面，根本原因更加重要。关注根本原因而不是症状表现，这并不是一个新概念。Top 10便是症状表现和根本原因的混合体，CWE也同样是症状表现和根本原因的混合体。现版本中每个类别平均有 19.6 个 CWE，A10：2021-服务器端请求伪造(SSRF) 的下限为 1 个 CWE，而 A04：2021-不安全设计中的 CWE 下限为 40 个。现版本更新的归纳法其实提供了额外的培训好处，比方公司可以专注于对语言/框架有意义的 CWE。  在归纳过程中，我们如何使用数据？ 2017年，OWASP根据事件发生概率来挑选各种主题，然后通过团队讨论，根据以往数十年的可利用性（exploitability）、可检测性（Detectability，也是可能性）和技术影响（Technical Impact）这三点来进行了排名。对于 2021 年，OWASP选择将数据用于利用（Exploit）和影响（Impact）的统计。 OWASP下载了OWASP Dependency Check，并提取了按相关CWE分组的CVSS 利用和影响的分数。这需要他们用一段时间去研究，因为所有CVE都有 CVSSv2 分数，但CVSSv2中存在CVSSv3应该解决的缺陷。过了段时间，所有CVE都被标上了CVSSv3 分数，并且CVSSv2与CVSSv3的评分范围和公式也进行了更新。 在 CVSSv2 中，利用和影响最大可以达到 10.0分，但公式会将它们的分数降低，利用只剩60%，影响下降至原本的40%。在CVSSv3 中，利用的理论最大分数限制为 6.0，影响的理论最大分数限制为4.0。考虑到权重，影响的评分在 CVSSv3 中平均上升了近1.5，而利用的评分平均下降了0.5。 OWASP Dependency Check提取的NVD数据中，有125000条CVE对应到CWE的记录，对应到CVE的特殊CWE有241条。62000条 CWE有CVSSv3 分数，大约是数据集数量的一半。 对于Top 10，OWASP按以下方式计算平均利用和影响分数。按CWE将所有有CVSS分数的CVE分组，并通过“有 CVSSv3数量的百分比”+“剩余有CVSSv2 的数量”，对利用和影响进行加权，获得了总体平均值。再将这些平均值对应到数据集中CWE，以用作另一半的风险等式的利用和影响评分。...

8月21日，网络上突然流出电视剧《扫黑风暴》27集版本，而在腾讯视频上，凭借付费超前点播才能看到第19集。红星新闻记者从相关渠道了解到，网络上有多位用户声称手握27集《扫黑风暴》资源，以6元左右价格售卖。根据网络流传的截图显示，泄露到全网的盗版版本为送审样片版本。 盗版卖家在朋友圈兜售资源 8月21日上午，《扫黑风暴》官方微博发布反盗版声明，表示已经第一时间向公安机关报案，追查盗版来源。同时也呼吁广大观众通过合法平台观看该剧，“不观看盗版内容，切不可擅自转发、传播盗版内容。” ...

部分《扫黑风暴》如火如荼地热播着，几度占据热度排行榜第一，开播13天，累计播放量高达16.4亿，20日单日播放就打破2亿，随着热度的攀升却迎来了不好的消息。 8月21日，上午10点37分，扫黑风暴官方发表了一则通告，反对盗版声明，内容详细讲述了，对盗版作品的转播和销售给观众和平台方造成的损失，辉煌追究其责任，呼吁大家拒绝盗版，支持正版。 这真是让人哭笑不得，这些年来，盗版作品资源横向霸道，充斥在市场上，误导消费者，让许多品牌方也遭受很大的损失。 比如在16年上映的《人民的名义》，也是刚刚热映就被网友们疯狂转载，在朋友圈和各大社交平台分享资源，在这样的现象下，片方也是保留了证据利用法律途径去维护自己的合法权益。 但吃力不讨好的是，有一些消费者抱怨自己花了钱，但是却没有拿到资源，被人骗了，也有许多平台上也只是打着售卖资源的名义去欺骗消费者，并没有真正的资源。消费者很容易就上当受骗，最后钱货两空。 不过话又说回来，在官方下留言的小伙伴也是非常的理智，清楚知道需要支持正版，抵制盗版，有着极强的法律意识，甚至还有网友共鸣：“扫黑就该扫这类人”。 还有一名网友，也是把自己各位看笑了，呼吁大家千万不要看盗版，原因是盗版的剪辑和正版有出入，内容的顺序也不一样，观感极差，会对整部电视题材的影响有很大的差异，表明自己不想看盗版了，支持正版。 也有调皮的网友调侃到：我明明开了会员出了钱，但又来一个超前点播，这不是欺负老实人吗？其实大家最大的槽点还是在于，某平台收费有点过分，开了会员还要花3元一集，再加上一天一集吊着胃口，各位观众老爷也变得对平台方各种调侃。 一些眼疾手快的朋友也是表明因为实在太好看了，所以才去购买，自己已经看完，或刚刚到一半就被和谐之类。 事到如今，盗版电影电视剧越来越多，严重侵害了平台方和制片方的权益，同样，还未完善未审核的片子，传递到消费者手中，一样会给消费者不好的观感。 积极支持正版，不要让别人的辛苦劳作付诸东流，是我们每个人的义务，反观，评论区的调侃，其实某些平台的收费标准确实有些过分，希望也能体会到消费者最真实的感受，毕竟这么大的厂，不可能缺消费者这点碎银子 ...

我他妈直接好家伙，在tg冒充相关单位发送木马病毒...

根据区块链数据平台Chainalysis发布的一份报告，在2019年4月至2021年6月期间，中国加密虚拟货币地址向与诈骗和暗网操作等非法活动有关的地址发送了价值超过22亿美元的虚拟货币。 路透社近日发表报道称，根据区块链数据平台Chainalysis周二发布的一份报告，在2019年4月至2021年6月期间，中国加密虚拟货币地址向与诈骗和暗网操作等非法活动有关的地址发送了价值超过22亿美元的虚拟货币。 它补充说，这些地址也从非法来源获得了20亿美元的加密虚拟货币，使中国成为虚拟货币相关犯罪的大国。该报告分析了中国政府打击下的虚拟货币活动。 然而，Chainalysis说，就绝对值和相对于其他国家而言，中国与非法地址的交易量在这两年内急剧下降了。它指出，最大的原因是没有大规模的庞氏骗局，如2019年涉及加密货币钱包和交易所PlusToken的骗局，该骗局起源于中国。 用户和客户在PlusToken骗局中估计损失了30亿至40亿美元。 Chainalysis的报告说，中国绝大多数加密虚拟货币的非法资金流动都与骗局有关，尽管这种情况也有所下降。 Chainalysis全球公共部门首席技术官Gurvais Grigg在给路透社的电子邮件中说：”这很可能是因为PlusToken提高了认识，以及该国家的打击行动。 ” 报告还提到了从中国贩运芬太尼的情况，芬太尼是一种非常有效的麻醉性止痛药，用于治疗严重疼痛或手术后疼痛。 Chainalysis说，洗钱是另一种明显的基于加密虚拟货币的犯罪形式，在中国进行的犯罪比例过大。 大多数基于加密货币的洗钱行为涉及主流数字货币交易所，通常是通过场外进行交易，其业务是建立在这些平台之上的。 Chainalysis指出，中国正在对促进这种场外非法交易活动的企业和个人采取行动。它引用了中国几家OTC企业的创始人赵东的例子，他在去年被捕后于5月承认了洗钱指控。 ...

报告显示，黑客起初试图通过盗窃勒索 EA，但在未能与公司就付款达成协议后在暗网发布了数据。 黑客最初要求提供2800万美元（约20.7亿英磅）的赎金赎回被盗代码，约780GB的数据。他们通过渗入EA的内部Slack渠道窃取了这些数据。 窃取视频游戏公司Electronic Arts（EA）《FIFA 21》源代码的黑客在暗网上发布了这些代码。据报道，黑客起初试图用盗窃来勒索EA，但未能与该公司就付款问题达成协议后，就发布了数据。 黑客最初要价2800万美元（约207亿英镑），以换取被盗的源代码，大约价值780GB的数据。他们通过渗入EA的内部Slack渠道窃取了这些数据。该公司拒绝支付赎金，据说是因为被盗的数据不包含任何敏感信息。”事件发生后，我们已经进行了安全改进，预计不会对我们的游戏或业务产生影响。我们正在积极与执法官员和其他专家合作，作为这项正在进行的刑事调查的一部分，”该公司透露。 被盗数据于6月11日首次出现在暗网和地下论坛。当时，黑客们说他们还盗取了即将推出的游戏版本FIFA 2022的应用编程接口（API）密钥，他们还说他们已经获得了Xbox和PlayStation游戏机的软件开发工具包（SDK），其他高价值的EA游戏，如战地和麦登，其游戏引擎的源代码也被盗。 “专有的源代码被泄露绝对不是一个好消息，这是严重的IP（知识产权）盗窃，黑客能够收获珍贵的信息，能够看到游戏的内部运作，利用安全漏洞，甚至为恶意的目的对游戏进行逆向工程。”Check Point软件技术公司印度和Saarc地区SE负责人、客户成功主管Prakash Bell说：“除了因泄漏和知识产权损失而造成的声誉损失外，受影响的公司所做的投资和未来的收入还会因此而遭受巨大的金钱损失。” ...

在美国发行的疫苗接种卡是由美国疾病控制和预防中心发行的白色小卡片，安全专家认为这种卡片很容易伪造，因此亚马逊、eBay等电商平台上都出现了假疫苗证书。 美国政府表示，联邦工作人员必须接种疫苗或接受定期核酸检测、口罩佩戴要求和保持社交距离。加利福尼亚州要求州政府雇员每周至少接受一次疫苗接种或核酸检测。纽约州将很快跟进，纽约市计划要求餐馆和健身房的顾客和员工提供疫苗接种证明。 沃尔特-迪斯尼公司、沃尔玛公司、微软公司等雇主都要求员工提供疫苗接种证明。沃尔玛公司、微软公司和泰森食品公司等雇主都要求至少为其部分员工接种疫苗。 在美国和欧洲的部分地区，在室内就餐、参观博物馆和参加大型体育赛事时都需要提供疫苗接种证明。 据《华尔街日报》报道，这种规定的普及为未接种疫苗的人创造了一个需要假疫苗证书的市场。美国和欧洲的疫苗接种证明要求已经刺激了一个新的伪造接种证明市场。最近几周，在电商网站、社交平台Telegram和暗网上，出售非法疫苗接种证明的计划成倍增加。 网络安全公司卡巴斯基(Kaspersky)的研究员德米特里-加洛夫(Dmitry Galov)告诉《华尔街日报》：“由于一部分人试图避开新措施，暗网对真实市场做出反应，因此需求催生了报价。” 据《华尔街日报》报道，在美国发行的疫苗接种卡是由美国疾病控制和预防中心发行的白色小卡片，安全专家认为这种卡片很容易伪造，因此亚马逊、eBay和Etsy等电子商务平台上都出现了假疫苗证书。也有个人因出售假疫苗接种卡而被逮捕，例如在加利福尼亚州，一名酒吧老板因涉嫌出售伪造的疫苗接种卡收取20美元而被逮捕。 在欧盟国家，每个人都有一个专门的二维码的数字证书作为疫苗接种卡，假证书也在增加。例如，在意大利，约有30个社交媒体上出现了声称出售假接种证书的资料，其中约有500个在过去几个月中曾经售出过。据《世界日报》报道，大多数欺诈性卡片都出现在Telegram平台上，当意大利政府要求时，该平台关闭了出售假证书的渠道。负责调查假证的米兰检察官Eugenio Fusco告诉《华尔街日报》：“至少通过关闭这些账户，我们暂时阻止了这种现象。” ...

为逼迫前女友和现男友分手，男子假扮网络黑客，对前女友发出死亡威胁，还在线下干扰其生活 8月5日，记者从上海市松江区人民检察院获悉，该院依法以涉嫌寻衅滋事罪对男子周某批准逮捕。 松江区检察院介绍，2021年3月，年轻姑娘小王的QQ号被盗，正当苦恼之际，好友突然联系她说盗号者发来消息：“游戏号我收下了，QQ号可以还给你”，而且告知了修改后的密码。 账号的失而复得后，小王发现好友列表里多了一个陌生人，此人第一时间发来消息，主动承认自己是盗号的黑客，同时恐吓小王，发出将要投毒的死亡威胁。 突如其来的恐吓使小王惊愕不已。起初，小王安慰自己是无聊的陌生人开着恶毒的玩笑，但到后来她愈发觉得事情不对劲。根据对方提示，小王在网购订单里看见“黑客”所买的农药赫然在列，不仅填写了她的收货地址，还寄给了身边的人。小王立即取消订单，追问对方出于什么目的，“黑客”回应是在“暗网”接的订单，为了让小王一家人不太平。 之后的一段时间里，小王不断收到“黑客”的言语威胁，对方扬言要绑架她，并配上枪械和血腥图片，而这时他的目的更加明确，变成了要求小王与现任男友彻底分手，“断个干净”。面对无端恐吓，小王曾以报警警告对方，但对方不以为意。小王出于未受到实际伤害和害怕打击报复的原因，始终没有求助司法机关。 然而，“黑客”非但在线上没有收敛，更在现实生活中对小王进行骚扰。在深夜，她多次听到有人敲门而不应答，有时对方还用类似铁丝的东西撬锁芯甚至切断电闸，不仅如此，小王惊恐地发现房间电视柜下面被人安装了摄像头…… 种种行为一直持续到5月，小王担惊受怕，精神终日处于高度紧张状态，短时间内掉了不少体重，她不得不计划离开上海返回老家。 2021年5月末，小王忍无可忍终于报警，公安机关接到线索对本案进行侦查，发现小王的前男友周某具有重大作案嫌疑，遂将其抓获。周某被控制后交代作案动机，称因为分手心生不满，在盗取小王QQ号后发现前女友另结新好，遂假扮黑客进行恐吓，同时他还利用对小王及其家人联系方式和生活习惯的了解，多次至被害人住处甚至潜入被害人家中，以断电、敲门、放置摄像头等方式骚扰对方正常生活。 检察机关认为，周某的行为致使被害人时刻处于被人监视的恐惧状态下，对被害人的工作、生活造成严重影响，系恐吓他人，情节恶劣，涉嫌寻衅滋事罪。日前，上海市松江区人民检察院依法对周某批准逮捕。 ...

为人民军队点赞，致敬最可爱的人，感谢你们守护和平！你们是我们的骄傲❤️...

最近从a5站群了解到，近期网站政策又要大整改了，针对网站分享资源这块做出多项严格要求，做网站现在路子越来越窄了! 根据群内站长透露了解到，这波网站政策整改覆盖面很广，几乎所有网站都要全部整顿，整改要求主要针对的是网站内容方面，要求以后，所有网站分享出去的资源都不允许带有有破坏性，针对性，涉政等相关信息，不管是脚本，辅助，还是系统只要有问题就会被牵连。 不仅如此，更不好搞的是，如果别人在你网站，下载你分享的的资源，进行什么违规操作，那么这样你也要受牵连，可以说相当严格了。 后续，群内有站长表示，这波网站政策改变太难了吧，以后网站运营这块又变窄了，按照要求看，不论是下载站，还是个人资源站，以及个人博客站，都有中招的风险，站长太难了! 还有站长表示，其实一直都一样，你做的广告出现任何违法行为也是一样牵连 不止这一个 反正还有很多，做啥都一样自己本分点 就不会有啥事，动了歪心思早晚出事 ...