Reader

FreeBuf网络安全行业门户

• 仅2-5%的应用安全警报需立即处置
• 高危PHP漏洞可绕过验证加载恶意内容
• Telegram 惊现数据抓取机器人：560 亿条公开群聊记录被索引，涉 8.6 亿用户
• AI Agent：功能、架构与安全风险
• 关于公开征求《中华人民共和国网络安全法（修正草案再次征求意见稿）》意见的通知
• FreeBuf | 《网络安全法》修正草案征求意见稿发布；Mozilla紧急修复高危漏洞
• 中小企业99%安全问题0成本方案，阿里云用户谈行业首个“云体检”
• Morphing Meerkat新型网络钓鱼工具包利用DNS邮件记录模仿114个品牌
• 九个存在九年的npm软件包遭劫持 通过混淆脚本窃取API密钥
• Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似
• 2025年全球网络安全支出预计增长12.2%
• 医疗行业网络安全现状令人担忧
• Java漏洞在黑盒实战中的技巧——反序列化篇
• 二进制分析实战笔记（二）
• 大模型安全警报：你的AI客服正在泄露客户银行卡号
• 数据跨境 | 韩国数据安全与跨境合规实践
• FreeBuf 早报 | Oracle客户证实云数据泄露数据真实有效；Splunk曝高危漏洞
• FlowiseAI 任意文件写入漏洞（CVE-2025–26319）
• AD域内网渗透学习——ACL攻击链
• GBT 20984-2022 《信息安全技术 信息安全风险评估方法》实践笔记
• WEB漏洞——越权
• FreeBuf周报 | Oracle否认泄露600万条记录；Oracle客户证实云数据泄露事件
• HTB-Devvortex-WriteUp
• HTB-GoodGames-WriteUp
• Splunk 高危漏洞：攻击者可通过文件上传执行任意代码
• FreeBuf 早报 | Chrome零日漏洞遭利用；新Windows零日漏洞泄露NTLM哈希值
• [Meachines] [Medium] Lazy Padding-Oracle+AES_CBC+路径劫持权限提升
• 恶意npm包篡改本地"ethers"库以发起反向Shell攻击
• DrayTek再现未授权RCE漏洞：CVE-2024-12987复现分析
• 新型SectopRAT木马利用Cloudflare验证系统攻击Windows用户
• 安卓GPU漏洞攻防介绍
• 2025年3月三大网络攻击事件盘点
• Kubernetes ：k8s一主两从集群搭建—实现全纪录
• Kubernetes HPA 实战：Pod水平自动伸缩—实现全纪录
• Ant Design 的 CSS-in-JS 实现与最佳实践
• 加密货币盗窃案主犯"Wiz"落网 涉案金额达2.43亿美元
• 用友U8 Cloud移动报表mobilereport接口SQL注入漏洞分析
• 新型Windows零日漏洞可致远程攻击者窃取NTLM凭证，非官方补丁发布
• VMware Windows Tools 存在认证绕过漏洞（CVE-2025-22230）
• 谷歌Chrome浏览器零日漏洞遭黑客大规模利用
• 网络安全解析：你的数据是如何流入暗网的？
• 首席信息安全官（CISO）职业生涯的九大致命错误
• 从CISO视角看量子密钥分发 | CSO Online
• 游戏皮肤安全指南：如何防范诈骗与恶意软件
• Kubernetes Ingress NGINX Controller 曝高危漏洞，无需认证即可远程执行代码
• 新型钓鱼攻击瞄准macOS用户，伪造安全警报
• 新型VanHelsing勒索软件瞄准Windows、ARM和ESXi系统
• Next.js 严重漏洞：攻击者可绕过中间件授权检查
• FreeBuf 早报 | 甲骨文否认600万条记录遭窃取；GitHub供应链攻击事件
• 新型Linux内核Rust模块发布，专为检测Rootkit而生
• Clio：具备锁定、用户认证和审计追踪功能的实时日志记录工具
• Cloudflare推出AI迷宫：新型策略应对AI爬虫
• 如何删除iPhone中的重复照片以节省存储空间
• [Meachines] [Insane] Response SSRF +LDAP劫持+CPRF+Nmap-ssl-cert目录穿越+SMTP劫持+D-Link+MSF-ELF流量解密+SSH私钥破译
• GitHub供应链攻击事件：Coinbase遭袭，218个仓库暴露，CI/CD密钥泄露
• [Meachines] [Medium] RedCross XSS+Firewall-RCE+BOF-ROP-PLT权限提升
• 【漏洞复现】Apache Tomcat 命令执行漏洞（CVE-2025-24813)
• 为何AI系统比以往任何时候都更需要红队测试
• 反弹SHELL&不回显外带&正反向连接&防火墙出入站&文件下载
• 不会有人2025了还不会反弹shell吧？让你的反弹shell从0到1！
• [Meachines] [Hard] Spooktrol uvicorn-LFI+C2-RE+D-Link-V2文件同步+ C2任务表注入权限提升
• JSON Web Token (JWT) 渗透技巧【详解总结】
• 黑客声称窃取600万条记录，甲骨文否认数据泄露
• Cloudflare全面禁止未加密流量访问其API端点
• 微软可信签名服务遭滥用，恶意软件借机获得合法签名
• D-link-V2(暗链) : 实时文件同步密钥安全验证持久化Linux
• 俄罗斯零日漏洞经纪公司Operation Zero悬赏400万美元收购Telegram漏洞
• Coinbase成为近期GitHub Actions供应链攻击的主要目标
• FreeBuf 早报 | DeepSeek 易被用于生成恶意软件；安卓Root后风险激增3000倍
• HrBeyondXSS开发记录（1）——前端框架payload
• 警惕AI伪装者！如何识破DeepSeek仿冒攻击？
• 记录一次hw使用无问AI收集资产
• Caido v0.47.0 发布：一款强大的 Burp Suite 替代品，Web 渗透测试工具迎来新升级
• FreeBuf周报 | “人肉开盒”再调查；ChatGPT SSRF漏洞迅速成为热门攻击向量
• Veeam与IBM发布备份和AIX系统高危漏洞补丁
• FreeBuf 早报 | Linux 内核越界写入漏洞致权限提升；NAKIVO 备份漏洞存攻击风险
• 六国政府疑似使用以色列Paragon间谍软件窃取即时通讯数据
• 《网络安全等级保护测评报告模版》2025版与2021版的对比分析
• Cisco智能许可工具漏洞遭攻击者利用，内置后门账户曝光
• 公私合作：网络安全行业增长与成熟的催化剂
• 安卓设备被Root后遭遇攻击的风险激增3000倍，iPhone亦不安全
• 警惕！AI组件ComfyUI易被黑产盯上
• AI写代码=安全危机？第一声“警哨”已吹响
• 应对安全工具泛滥的六个策略
• 量子注入（Quantum Injection）
• [Meachines] [Medium] Stratosphere Struts-2-RCE+mysql转存储+python三方库劫持
• 黑客利用PHP严重漏洞部署Quasar RAT和XMRig挖矿软件
• [Meachines] [Medium] Sneaky snmp+SSH-IPV6+BOF-NOP-Sled权限提升
• FreeBuf早报 | “人肉开盒”再调查；Windows文件管理器漏洞可致网络欺骗攻击
• 针对跨境电商的钓鱼邮件分析
• Kali Linux 2025.1a 发布：新增工具、年度主题更新
• DBatLoader恶意加载器的全面分析——典型加载器家族系列分析二
• 幽灵注入（Ghost Injection）
• 新型MassJacker剪贴板恶意软件，捆绑在盗版软件中偷窃加密货币钱包
• 一周网安优质PDF资源推荐丨FreeBuf知识大陆
• FreeBuf早报 | OpenAI Agent首次自主完成钓鱼攻击；近百万电脑遭入侵
• 思科警告IOS XR软件漏洞可能导致拒绝服务攻击
• FreeBuf周报 | 谷歌去年向白帽支付了近1800万美元；热门Python库曝严重缺陷
• 安全入门神器！基于 Gophish 的钓鱼渗透测试平台，让你轻松掌握网络安全
• 【红队笔记】实战中如何用SPF识别钓鱼邮件