2025年CISO最青睐的五大安全框架

在数字环境快速演变的当下，随着网络威胁日益复杂且频繁出现，首席信息安全官（CISO）正面临前所未有的挑战。2025年见证了企业网络安全策略的重大转变——CISO正从传统IT部门走向高管领导团队，这反映

一周网安优质PDF资源推荐 | FreeBuf知识大陆

Erlang/OTP SSH存在CVSS 10.0级高危远程代码执行漏洞

安全研究人员披露了编号为CVE-2025-32433的漏洞，该漏洞存在于Erlang/OTP SSH组件中，CVSS评分为10.0分（最高危险等级），攻击者可利用此漏洞在未经验证的情况下在暴露系统上执

FreeBuf周报 | CVE漏洞数据库项目面临停摆危机；Apache Roller 高危漏洞改密后会话仍有效

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🔐美国国土安全部终止资助，CVE漏洞数据库项目面临停摆危机🛡️美国

57款Chrome扩展暗藏追踪代码，总安装量高达600万次

安全研究人员发现57款Chrome浏览器扩展存在高风险行为，这些扩展总安装量达600万次，具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。01隐蔽的分发方式这些扩展具有"隐身

新型BPFDoor 控制器曝光：助力攻击者实现Linux服务器隐蔽横向移动

网络安全研究人员发现，在2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击中，出现了一种与已知后门程序BPFDoor相关的新型控制器组件。01隐蔽的横向渗透能力趋势科技研

网安从业者入门指南：从概念科普到路径规划，再到动手实操和资料获取

“网络安全是什么？黑客是不是都戴着墨镜敲键盘？我连代码都看不懂，能学会吗？”——如果你也有这样的疑问，恭喜你，你已经迈出了第一步：承认自己是个“小白”。 网络安全听起来高大上，但其实离我

减小勒索攻击受害程度的关键措施；有哪些数据恢复方案| FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第253期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

Windows漏洞CVE-2025-24054被利用，文件下载可致NTLM凭据被盗

微软上月已发布补丁的 Windows NTLM 哈希泄露漏洞 CVE-2025-24054，近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。Check Point 研究人员表示："自 2

iOS 设备遭定向攻击，苹果紧急修复两枚零日漏洞

苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新，修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。这两个漏洞存在于CoreAudio和RPAC组件中，攻击

Windows 11高危漏洞：300毫秒即可提权至管理员

Windows 11 存在一个严重漏洞，攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。该漏洞编号为 CVE-2025-24076，通过精密的 DLL 劫持技术利用 Windows 1

FreeBuf热门电台精选集第一期

CVE停摆危机暂时解除，CISA火线拨款续约11个月

美国网络安全和基础设施安全局（CISA）已与MITRE公司续签合同，确保全球网络安全基石——通用漏洞披露（CVE）项目得以持续运行。CVE项目成立于1999年，由MITRE公司维护，是全球使用最广泛的

网络安全领域的AI战略准备：从概念到实践的7大关键步骤

网络安全领域的人工智能就绪度（AI readiness）不仅是拥有最新的工具与技术，更是一项刻不容缓的战略必需。许多企业若因目标不明确、数据准备不足或与业务重点脱节而未能有效利用AI技术，可能面临严重

美国国土安全部终止资助，CVE漏洞数据库面临停摆危机

美国非营利研发组织MITRE宣布，其与美国国土安全部（DHS）签订的"通用漏洞披露（CVE）"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱，因DH

CVSS 10.0！Apache Roller 曝高危漏洞：密码修改后会话仍持续有效

Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞，攻击者可利用该漏洞在用户修改密码后仍保持未授权访问。这款基于 Java 的博客平台存在会话管理缺陷，被赋予最高危险等级的 CVS

微软提醒Windows 11用户勿删除神秘的"inetpub"文件夹

近期安全更新后在Windows系统上出现的一个看似空白的文件夹引发了用户担忧，微软证实这是有意为之的安全措施，不应被删除。该目录通常位于C:\inetpub，即使对于不运行Web服务器软件的用户，它也

如何利用图像验证技术识别钓鱼攻击？

当今数字互联的时代与过去截然不同，互联网已深度融入个人生活与职业场景。虽然这种变革为不同群体带来了便利，但同时也导致网络安全威胁的升级与演变。现代黑客常通过钓鱼攻击手段试图欺骗网民，他们利用伪装邮件和

玲珑安全：把饭喂学员嘴里，学员3个月收入40W！

四月的风揉碎枝头新绿，也吹响了网络安全人的进化号角。当漏洞挖掘成为数字世界的攻防利刃，市面速成教程却让多少求知者困在"纸上谈洞"的迷雾中。面对遍地"理论挖洞、实战抓瞎"的行业困境，玲珑安全锻造出直指核

警惕！黑客出租可完全控制 macOS 系统的恶意软件

网络安全领域出现了一种针对苹果用户的新型威胁。地下论坛上正在宣传一款名为"iNARi Loader"的macOS恶意软件即服务（MaaS）产品。01高级窃密软件威胁升级这款高价窃密软件代表了macOS

2025年CISO应对勒索软件威胁指南

勒索软件在2025年仍是网络安全领域的首要威胁，其攻击模式已从机会主义行为演变为具有商业运营效率的成熟犯罪产业。最新研究表明，勒索软件被列为今年最受关注的安全威胁，其中AI驱动的变种尤其引发安全专家担

OWASP发布生成式AI安全治理清单

随着OpenAI、Anthropic、Google和微软等公司的生成式AI及大语言模型(LLM)用户量呈指数级增长，企业IT安全决策者正努力跟上AI技术的快速发展步伐。非营利组织OWASP最新发布的《

Google AI 安全框架 SAIF详解：六大核心要素与风险地图一览

随着人工智能技术的快速发展与安全威胁的持续演变，大规模保护人工智能系统、应用及用户所面临的挑战，不仅要求开发者掌握已有的安全编码最佳实践，还需深入理解人工智能特有的隐私与安全风险。在此背景下，Goog

潜藏在AI工作流程中的数据泄露风险

随着人工智能技术深度融入日常业务流程，数据暴露风险正持续攀升。提示词泄露已非偶发事件，而是员工使用大语言模型（LLM）过程中的必然产物，首席信息安全官（CISO）必须将其视为核心安全问题。为降低风险，

微软 Defender 将隔离未受管端点以阻断攻击

微软正在测试 Defender for Endpoint（端点防护）的一项新功能，该功能将通过阻断与未受管端点之间的网络流量，阻止攻击者在网络中的横向移动。01自动隔离未受管设备微软透露，该功能通过隔

思科设备曝出七年旧漏洞 攻击者可远程执行代码

思科网络设备中存在一个长达七年的安全漏洞，至今仍对未打补丁的系统构成重大风险，攻击者可利用该漏洞远程执行代码。该漏洞编号为CVE-2018-0171，最初于2018年发现，针对思科的Smart Ins

俄罗斯APT组织利用设备码钓鱼技术绕过多因素认证

俄罗斯国家支持的APT组织Storm-2372近期发起了一场复杂的网络攻击活动，利用设备码钓鱼（Device Code Phishing）技术绕过多因素认证（MFA）安全措施。这种针对性攻击手段标志着

iOS设备遭受钓鱼攻击的频率是Android设备的两倍

根据Lookout公司的报告，2024年带来了无数新的网络安全挑战，其中移动威胁态势显著增长。从国家行为体到个人黑客，威胁行为者越来越多地将移动设备作为攻击起点，窃取凭证并通过"现代杀伤链"路径渗透企

一周网安优质PDF资源推荐 | FreeBuf知识大陆

FreeBuf周报 | AI驱动的垃圾邮件机器人攻击超8万家网站；利用ChatGPT-4o伪造护照

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！📫AI驱动的垃圾邮件机器人绕过验证码攻击超8万家网站🏢SideCo