私域流量大洗牌！整治“割韭菜”圈子，拉升“真·靠谱”帮会

温馨提示：文末可领免费资料包拒绝割韭菜！官方认证高信誉帮会钻石星选帮会，是平台为真正用心经营、有干货、有信誉的帮主打造的专属认证！专业团队 + 深度互动：运营专家坐镇，实战干货持续输出，拒绝敷衍跑路；

1小时思维蜕变！手把手教你挖出别人看不见的宝藏漏洞

回顾这些年在漏洞挖掘领域的探索，有一个极为关键的发现：许多漏洞其实近在咫尺，甚至无需开启抓包工具就能发现。每一次这样的测试都令人震撼，原以为到了 2025 年，如此简单的漏洞早已销声匿迹，但现实却无情

Next.js 严重漏洞：攻击者可绕过中间件授权检查

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 C

Cloudflare推出AI迷宫：新型策略应对AI爬虫

Cloudflare近日推出了名为“AI迷宫”的创新工具，旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中，来应对这些恶意爬虫。该工具于2025年3月19日发布，作为一种免费的、可选

为何AI系统比以往任何时候都更需要红队测试

AI 系统已深度融入现代生活，但并非无懈可击。红队测试作为一项关键技术，正通过系统性地挖掘 AI 漏洞，显著提升其安全性与可靠性。随着人工智能技术的快速迭代，这种全面测试的需求愈发迫切，不仅能防范潜在

小火炬超强带挖，单个学员30天斩获6万+！

你是否也经历过这样的时刻？——刷着漏洞报告平台望洋兴叹，仿佛全世界只有自己找不到入口——熬夜测试十几种payload，厂商却已悄悄修复了漏洞——看着别人晒出的五位数字赏金，默默把《从入门到放弃》加入书

GitHub供应链攻击升级：Coinbase超218代码库暴露，CI/CD密钥泄露

涉及 GitHub Actions 工具 "tj-actions/changed-files" 的供应链攻击最初是针对 Coinbase 一个开源项目的定向攻击，随后演变为范围更广的安全事件。攻击过程

微软可信签名服务遭滥用，恶意软件借机获得合法签名

网络犯罪分子正在滥用微软可信签名平台，通过有效期仅三天的短期证书为恶意软件可执行程序进行代码签名。长期以来，威胁行为者一直觊觎代码签名证书，因为这类证书可用于为恶意软件披上合法企业的外衣。恶意软件签名

【重大工控漏洞】mySCADA myPRO或被攻击者掌控工业控制系统

网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术（OT）环境中的监控与数据采集（SCADA）系统，这些漏洞可能使恶意攻击者控制易受攻击的

一周网安优质PDF资源推荐 | FreeBuf知识大陆

【重大漏洞警示】AMI BMC漏洞可能导致远程认证绕过

安全研究人员近期发现，AMI的MegaRAC软件中存在一个严重的漏洞，该漏洞可能被攻击者利用以远程绕过认证。这一漏洞编号为CVE-2024-54085，已影响众多数据中心设备和服务器型号，可能危及全球

白帽SRC百洞事件复盘；业务漏洞应对处理策略| FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第251期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

FreeBuf周报 | “人肉开盒”再调查；ChatGPT SSRF漏洞迅速成为热门攻击向量

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！热点资讯1. “人肉开盒”再调查：网络灰产隐秘升级，记者买到自己的

Root后安卓设备遭遇攻击的风险激增3000倍，iPhone亦不安全

尽管苹果和谷歌不断强化设备安全性，但黑客和网络犯罪分子仍通过Root（安卓）和越狱（iOS）设备进行攻击。移动安全公司Zimperium的一份新报告在发布前与Hackread.com分享，报告警告称，

Cisco智能许可工具漏洞遭利用，内置后门账户曝光

近期，攻击者开始针对未修复漏洞的Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的后门管理员账户。Cisco智能许可工

研究人员利用AI越狱技术大量窃取Chrome信息

Cato Networks作为一家安全访问服务边缘（SASE）解决方案提供商，近日发布了其《2025年Cato CTRL威胁报告》，揭示了一项重要发现。研究人员称，他们成功设计了一种技术，使毫无编程经

Veeam与IBM发布备份和AIX系统高危漏洞补丁

Veeam近日发布了安全更新，修复了其备份与复制软件中的一个关键安全漏洞，该漏洞可能导致远程代码执行。高风险漏洞详情该漏洞被标记为CVE-2025-23120，CVSS评分为9.9（满分10.0），影

公私合作：网络安全行业增长与成熟的催化剂

随着网络犯罪分子不断升级他们的战术，利用人工智能等工具来简化并加速他们的攻击，网络安全行业也必须以非凡的速度进化。从首席信息安全官到政府机构，再到软件供应商，各个组织都在不断反思和重塑他们的策略，许多

Windows文件管理器重大漏洞，无需交互，PoC已发布

Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞，攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码，无需用户进行任何交互。安全研究人员已发布了该高危漏洞的概念验证（P

Kali Linux 2025.1a 发布：新增工具、年度主题更新

Kali Linux 发布了2025年的首个版本 2025.1a，本次更新新增了一个工具，并对桌面和主题进行了调整。Kali Linux 是一款专为网络安全专业人士和道德黑客设计的操作系统，主要用于红

VPN漏洞成为攻击组织的关键工具

VPN基础设施已成为网络犯罪分子和国家支持行为者的主要目标，这些系统中的漏洞成为了广泛组织攻击的入口。即使在公开多年后，关键的VPN漏洞仍然使威胁行为者能够以前所未有的规模窃取凭证并获得对企业网络的管

黑客利用PHP严重漏洞部署Quasar RAT和XMRig挖矿软件

黑客正在利用PHP中的一个严重安全漏洞来传播加密货币挖矿软件和远程访问木马（RAT），例如Quasar RAT。该漏洞被分配了CVE标识符CVE-2024-4577，涉及PHP在基于Windows的系

网安人求职防坑手册 | 从简历到Offer的生存法则

（一）招聘信息排雷指南——防坑雷达已启动1识别「挂羊头卖狗肉」岗位警惕JD中高频出现的危险词：「兼任IT运维」「协助行政事务」「负责设备调试」（翻译：修电脑+装系统+帮同事重置密码）✅ 真正值得投递的

谷歌320亿美元收购Wiz，推动云安全与多云战略

近日，谷歌宣布已签署最终协议，将以320亿美元全现金交易收购网络安全公司Wiz，这项交易需通过相关调整后最终完成。交易完成后，Wiz将并入谷歌云（Google Cloud）。此次收购标志着谷歌云正在加

新型“规则文件后门”攻击：通过AI代码编辑器植入恶意代码

网络安全研究人员近日披露了一种名为“规则文件后门”（Rules File Backdoor）的新型供应链攻击方式，该攻击影响人工智能（AI）驱动的代码编辑器，如GitHub Copilot和Curso

Cloudflare推出后量子加密技术，抵御量子计算机攻击

Cloudflare宣布为其Zero Trust平台推出首个端到端量子安全准备阶段，使企业能够保护其公司网络流量，抵御未来的量子计算机威胁。这一举措基于自2017年以来Cloudflare对后量子密码

Apache Tomcat漏洞公开发布仅30小时后即遭利用

近日，Apache Tomcat曝出一项安全漏洞，在公开发布概念验证（PoC）仅30小时后，该漏洞即遭到攻击者利用。这一漏洞编号为CVE-2025-24813，主要影响以下版本：1. Apache T

Telegram CEO因刑事调查暂时离开法国

法国当局已允许Telegram的CEO兼创始人Pavel Durov暂时离开该国，同时对该即时通讯平台上犯罪活动的调查仍在进行中。调查背景与Durov的行程今日早些时候，Durov在其Telegram

CVE-2024-27564漏洞一周内致ChatGPT遭万次攻击

网络安全公司Veriti在其最新研究报告中指出，OpenAI的ChatGPT基础设施正在遭受一个漏洞的积极利用。该研究重点关注了CVE-2024-27564漏洞，它是一个服务器端请求伪造（SSRF）漏

AI代理助力恶意代码编写，网络安全迎新挑战

人工智能驱动的代理正在快速发展，为自动化日常任务提供了更强大的能力。然而，研究人员发现，这些工具也可能被恶意行为者利用来实施攻击。OpenAI 的“Operator”于 2025 年 1 月 23 日