摇人!冲刺双十一保卫战10W赏金,不限经验组队!
阿里双 11 安全保卫战已经拉开序幕,18 家 SRC 组成安全联盟,从9月8日到 10 月10日,司令称号还可获得5万元现金奖励!群里有不少师傅参与了这场保卫战,已经提交了漏洞坐等收获赏金,同时也收
阅读全文俄罗斯APT28组织新型Outlook后门GONEPOSTAL:利用电子邮件构建隐蔽C2通道
网络安全公司Kroll近日发现俄罗斯APT28(高级持续威胁28组,又称Fancy Bear)发起的新型间谍活动,该组织使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DL
阅读全文Chrome紧急修复两大高危远程代码执行漏洞
Google已针对Windows、Mac和Linux平台的Chrome浏览器发布紧急安全更新,修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。Part01
阅读全文直击黑灰产攻防最新趋势,FightFraudCon2025火热报名中
互联网黑灰产攻防正在进入新的拐点:AI 欺诈量产化、NFC远程盗刷洗钱、共享设备数据泄露……这些攻击模式正在快速走向专业化和自动化,并以产业链形式渗透到各类业务场景。9月17日,北京,FightFra
阅读全文一键获取上万份资料和漏洞情报的资源情报网站
✦•✦这个聚合信息平台能做什么你能想到的——学习教程、资料、漏洞、资产测绘、备案查询、工具、福利……这个VIP网站全都准备好了。● 13000+ 网络安全学习资料、公开课视频教程● 10000+ 安全
阅读全文npm史上最大供应链攻击:每周下载量超20亿的软件包遭大规模攻击劫持
网络安全公司Aikido Security披露了npm生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户,篡改了包括chalk、debug和ansi-style
阅读全文苹果用户速更新!macOS存严重漏洞,用户隐私数据面临泄露风险
Part01漏洞概况近日,macOS系统发现一个CVSS评分高达 9.8 的高危漏洞,该漏洞可能允许应用程序绕过系统保护机制,非法访问受保护的用户数据。该漏洞编号为 CVE-2025-24204,目前
阅读全文新型APT组织"嘈杂熊"针对国家能源部门发起网络间谍活动
Seqrite实验室APT研究团队近日发布了一份深度分析报告,披露了一个自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)。该组织主要针对哈萨克斯坦石油天然气行业,攻击手法结合了鱼
阅读全文cJSON库存在CVSS 9.8高危JSON解析漏洞
Part01漏洞概述安全研究员Salah Chafai(漏洞利用开发与安全专家)近日披露,轻量级C语言JSON解析库cJSON存在一个高危漏洞(编号CVE-2025-57052,CVSS评分9.8)。
阅读全文每日5万封钓鱼邮件:亚马逊云服务漏洞助长大规模网络钓鱼活动
Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务(Amazon Simple Email Service,简称SES)漏洞的大规模钓鱼攻击活动细节。攻击者通过窃取的AWS密钥实施攻击,
阅读全文Apache Jackrabbit最新漏洞可导致JNDI注入与远程代码执行
Part01漏洞概况Apache软件基金会近日披露了Apache Jackrabbit Core和JCR Commons组件中的一个重要漏洞(编号CVE-2025-58782)。该漏洞影响1.0.0至
阅读全文迄今最大供应链入侵事件:GhostAction攻击窃取GitHub中3325个机密凭证
Part01攻击事件概述2025年9月2日,GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自
阅读全文思爱普SAP S/4HANA爆高危漏洞,可致系统被完全控制
Part01漏洞概况网络安全专家警告称,SAP S/4HANA 软件中存在一个高危命令注入漏洞(追踪编号 CVE-2025-42957,CVSS 评分 9.9),目前已被攻击者活跃利用。攻击者可利用该
阅读全文安全服务市场,彻底变天了!
安服市场,变天了!怎么说?!过去几年,在安服市场大蛋糕里,托管安全服务一直非常火。但这块市场,其实“暗流汹涌”——不信你看看IDC发布的“中国托管安全服务市场”研究报告,有几点变化,很值得琢磨。①先看
阅读全文安全实验室揭露朝鲜黑客组织如何滥用威胁情报平台
SentinelLABS情报团队与Validin合作发布深度分析报告,揭露了朝鲜背景的黑客组织如何利用网络威胁情报(CTI)平台监控自身暴露情况、侦察新基础设施并优化攻击行动。研究揭示了与Lazaru
阅读全文FreeBuf周报 | 史上最大规模DDoS攻击;1.1.1.1 DNS服务误发TLS证书事件
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🛡️史上最大规模DDoS攻击:Cloudflare成功防御11.5
阅读全文红队工具再度升级!AI 解读 JS,挖出隐藏资产
对于安全研究员与红队成员而言,好用可靠的工具能让你更专注在攻防本身,而不是浪费在重复操作上。那些能够自动化处理繁琐任务、智能扩展攻击面、清晰管理测试流程的工具,能直接将技术能力转化为成果。现在,「安全
阅读全文模型命名空间复用漏洞可劫持谷歌微软平台AI模型
Part01漏洞概述一种名为"模型命名空间复用(Model Namespace Reuse)"的新型安全漏洞被发现,攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等
阅读全文美国悬赏千万美元通缉涉嫌攻击关键基础设施的俄罗斯FSB官员
Part01锁定全球500余家能源企业的网络攻击美国国务院宣布悬赏最高1000万美元,征集关于俄罗斯联邦安全局(FSB)官员帕维尔·亚历山德罗维奇·阿库洛夫、米哈伊尔·米哈伊洛维奇·加夫里洛夫和马拉特
阅读全文大规模协同攻击正针对思科ASA设备展开探测
GreyNoise Intelligence团队在2025年8月下旬观测到两波异常庞大的扫描活动,目标直指思科自适应安全设备(Cisco Adaptive Security Appliance,ASA
阅读全文黑客将HexStrike AI武器化,10分钟内实现零日漏洞攻击
Part01攻击者滥用HexStrike AI这款本用于红队演练和漏洞赏金的新型攻击性安全工具被用来利用最新漏洞。Check Point研究人员警告称,攻击者正在滥用基于AI的攻击性安全工具HexSt
阅读全文零基础入门SRC斩获6W赏金!新手小白如何避免"听不懂、跟不上、挖不到"
《性价比之王二期| 零基础速成企业SRC赏金猎人》第二期的课程已经进行过半,据不完全统计,已经有学员累计收获6W元赏金,真正实现了“边学边赚”,回本率超高!🎉· 部分学员赏金·2025年截至8月28日
阅读全文提示词注入攻击可使AI驱动的网络安全工具反噬自身
研究表明,攻击者可通过提示词注入(Prompt Injection)攻击劫持AI驱动的网络安全工具,使其反噬自身系统。安全专家Víctor Mayoral-Vilches和Per Mannermaa
阅读全文1.1.1.1 DNS服务误发TLS证书事件:攻击者可解密用户流量
网络安全研究人员发现,Cloudflare与亚太网络信息中心(APNIC)运营的知名公共DNS服务1.1.1.1存在三张违规签发的TLS证书。这些2025年5月签发的证书可能使攻击者能够拦截并解密加密
阅读全文网络空间部队方队首次接受检阅
今天上午纪念中国人民抗日战争暨世界反法西斯战争胜利80周年大会在北京天安门广场隆重举行网络空间部队方队首次亮相 “9・3 阅兵”接受祖国和人民的检阅这是网络空间部队领导管理关系调整后的首次公开亮相网络
阅读全文斗象科技完成2亿元桥梁战略轮融资,为更大规模资本计划和IPO进程做好准备
斗象科技近日完成新一轮2亿元桥梁战略轮融资,由钟鼎资本独家投资。斗象科技CEO谢忱表示,本轮融资将进一步加大公司在AI安全技术与安全智能平台方向的研发投入,稳步推进长期战略布局,并为后续更大规模的资本
阅读全文史上最大规模DDoS攻击:Cloudflare成功防御11.5Tbps流量冲击
今年5月中旬,Cloudflare宣布成功抵御了破纪录的7.3Tbps分布式拒绝服务(DDoS)攻击。时隔数月,该公司再次披露里程碑事件——成功拦截峰值达11.5Tbps、每秒51亿数据包(Bpps)
阅读全文捷豹路虎确认遭遇网络安全事件,其全球IT系统受影响
Part01生产全面停摆豪华汽车制造商捷豹路虎(JLR)在遭遇重大网络安全事件后,被迫关闭其全球IT基础设施,并暂停了位于哈利伍德工厂的生产。这起最早于9月1日周一报告的入侵事件已导致大规模运营危机,
阅读全文普渡外卖机器人存在安全漏洞,黑客可劫持送餐路径
Part01全球商用机器人存在重大安全隐患您可能在餐厅见过这些猫脸造型的送餐机器人,它们穿梭于餐桌之间递送餐盘。这些主要由全球最大商用服务机器人公司普渡科技(Pudu Robotics)制造的设备,正
阅读全文