信息安全漏洞周报(2025年第44期)
点击蓝字 关注我们漏洞情况根据国家信息安全漏洞库(CNNVD)统计,本周(2025年10月27日至2025年11月2日)安全漏洞情况如下:公开漏洞情况本周CNNVD采集安全漏洞1000个。接报漏洞情况
阅读全文关于举办网络安全实战化人才培养师资培训的通知
为深入贯彻党的“二十大”精神,全面落实习近平总书记关于“网络强国”建设的重要思想,以提升网络空间技术对抗能力作为增强国家整体实力的关键抓手,切实落实教育部等部委关于高等院校培养网络安全实战化人才的战略
阅读全文Open VSX代码仓库泄露访问令牌引发供应链攻击 恶意扩展程序被植入
目前,Open VSX代码仓库已轮换访问令牌——此前开发者在公共代码库中意外泄露了这些令牌,导致威胁者得以通过供应链攻击发布恶意扩展程序。此次泄露由Wiz公司研究人员于两周前发现,他们当时报告称,微软
阅读全文8项公共安全行业标准获批发布
近日,公安部发布的2025年第1号《中华人民共和国公安部公共安全行业标准公告》,由公安部信息系统安全标准化技术委员会归口的8项公共安全行业标准正式发布。标准具体内容如下:一、强制性标准1.GA 127
阅读全文打造 ”基于浏览器的逆向工具“(二)
很多网友来问,都有IDA了,还要这个,有什么用?angr 是一个用于二进制程序分析的 Python 框架,主要用于逆向工程和漏洞挖掘。它通过符号执行、控制流分析等技术,帮助研究人员自动化地分析程序的行
阅读全文荣耀500系列设计曝光,不仅果味十足,硬件升级幅度亦可观
从后置Deco形状来看,荣耀这波终于不再致敬华为而是改为致敬苹果(iPhone Air)了。此外,荣耀500系列的硬件配置也有了下图所示之曝光,结合站哥爆料来看可信度不低。从中可以看出,这代的标准版终
阅读全文近几年课程规划调整:新增一些板块
官网:http://securitytech.cc/公众号:安全狗的自我修养vx:2207344074http://gitee.com/haidragonhttp://github.com/haidr
阅读全文为什么数据包模糊测试对漏洞悬赏仍然有价值
官网:http://securitytech.cc/今年 7 月,我凭借之前没有任何红队经验的情况下,拿到了人生中的第一笔漏洞赏金。过程如下。《Slapshot: Rebound》是一款小众的、基于物
阅读全文从扒官网到捡源码:我的 “瞎猫撞上死耗子” 式渗透
扫码领资料获网安教程本文由掌控安全学院 - bielang 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)前言:渗透这事儿,说复杂也复杂,说
阅读全文网安高薪直通,"保薪"护航 | 掌控安全学院双11活动来啦!
扫码领资料获网安教程来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)双 11 活动不容错过!● 多元课程体系,兼职 or 就业方向选择多样,适用人群
阅读全文Android12定制版安全测试手机(Pixel3)
Google Pixel Android安全测试机谷歌Pixel3手机(逆向相关书籍推荐)Android Pixel刷机系列之KernelSuPixel2手机刷谷歌官方镜像详细流程Android系统定
阅读全文Unity图片资源逆向分析和提取工具(处理Texture专用版)
AssetStudioGUI是一款优秀的Unity资源逆向工程工具,由Perfare开发维护,主要用于探索、提取和导出Unity资产包及序列化资源。它能处理多种Unity资源类型,包括纹理、音频、3D
阅读全文欧洲学者建议西方采取“负责任地不负责任”的网络作战方式
编者按瑞士苏黎世联邦理工学院安全研究中心学者斯特凡·索桑托和维多利亚·加约斯联合撰文称,乌克兰在俄乌战争中的进攻性网络战略的成功表明,西方政府或许应摒弃理想化的法律和道德限制,转而务实地采取“负责任地
阅读全文北约在爱沙尼亚塔林启动2025年“十字剑”网络演习
编者按北约合作网络防御卓越中心11月4日在爱沙尼亚塔林启动2025年“十字剑”网络演习,旨在训练网络防御人员在模拟危机和冲突环境中执行防御性和全方位进攻性网络行动。“十字剑”网络演习旨在提升作战级军事
阅读全文3名网安从业者被美国检察官起诉,最高面临50年监禁
高危漏洞 紧急修复指南 RCE Patch 近日,美国联邦检察官对三名涉嫌参与 BlackCat 勒索软件攻击的网络安全从业者提起公诉,指控他们在2023年5月至11月期间入侵五家美国企业网络并
阅读全文CrowdStrike副总裁:家居设计应该去智能化
曾几何时,一个真正的豪宅标配,不仅是无边泳池、十二车位车库,还包括全屋 Wi-Fi覆盖、语音激活的智能家居系统、冰箱烤面包机LED灯通通联网。精英阶层乐此不疲地把“万物互联”当作身份象征。但如今,风向
阅读全文网络安全专家参与勒索软件攻击面临最高50年刑期
近日,三名曾在网络安全事件响应公司DigitalMint和Sygnia任职的前员工遭到联邦起诉。他们被指控在2023年5月至11月期间,作为臭名昭著的BlackCat (ALPHV) 勒索软件团伙的附
阅读全文习近平同斐济总统拉拉巴拉武就中斐建交50周年互致贺电
习近平同斐济总统拉拉巴拉武就中斐建交50周年互致贺电李强同斐济总理兰布卡互致贺电11月5日,国家主席习近平同斐济共和国总统拉拉巴拉武互致贺电,庆祝中斐两国建交50周年。习近平指出,斐济是首个同新中国建
阅读全文一不小心发现了一个 0day!!!
今天在分析之前发现的一些无法复线的 SQL 注入漏洞是,发现一个有意思的案例,接口路径为:/inc/AccountIndex.aspx?Method=getattention&name=a修改参数 M
阅读全文超760款恶意安卓应用利用NFC和HCE功能窃取支付卡数据
11月5日,星期三,您好!中科汇能与您分享信息安全快讯:01Zscaler收购创新安全公司Splx,强化AI安全与治理能力构建Zscaler日前宣布收购AI创新安全公司SPLX,这也是Zscaler在
阅读全文六大关键词解码安恒信息上市六周年之路
·将“安恒信息”微信公众号设为星标 关注信息不走丢哦!往期精彩回顾更国际、更AI、更未来!今年的乌镇,安恒信息很不一样!(含参会指南)2025-11-04AI驱动数字安全人才培养新范式|2025全国数
阅读全文浙江省首届网络安全分级保护职工职业技能竞赛成功举办,安恒信息荣获感谢信
浙江省网络安全分级保护职工职业技能竞赛赋能实战,铸盾未来!10月19日,由浙江省国家保密局、浙江省总工会主办的浙江省网络安全分级保护职工职业技能竞赛在浙江大学玉泉校区圆满落幕。省委保密办主任、省国家保
阅读全文Linux 内核释放后重用漏洞正被用于勒索软件攻击|Claude AI漏洞:攻击者可利用代码解释器窃取企业数据
美国网络安全和基础设施安全局(CISA)发布紧急警报,指出Linux内核中存在一个严重的释放后重用漏洞(CVE-2024-1086)。该漏洞潜伏在netfilter:nf_tables组件中,可使本地
阅读全文偷走4100枚比特币不跑路,他把美国FBI玩到原地懵:19岁新加坡黑客的传奇人生
有些人天生是去改变世界的。而有些人,用天赋去挑战世界的规则。2023年,一个19岁的新加坡少年,用一台电脑干翻了美国华盛顿的富豪圈——他盗走了 4100多枚比特币,按当时市价算,价值超过 4.5亿美元
阅读全文一个接口到底能引发多少漏洞!
2025 年 9 月,宇树机器人被曝 BLE 接口存在致命漏洞:攻击者仅凭公开的硬编码密钥,就能绕过认证获取 root 权限,被攻陷的机器人还会自动扫描感染周边设备,形成蠕虫式攻击网络。这起事件再次印
阅读全文OSS 存储桶漏洞扫描工具,支持阿里云、腾讯云、华为云、AWS S3 等主流对象存储服务
工具介绍OSS_Scanner 是一款多厂商 OSS 存储桶漏洞扫描工具,支持阿里云、腾讯云、华为云、AWS S3 等主流对象存储服务,可检测敏感文件泄露、匿名上传 / 删除、CORS 配置过宽等 1
阅读全文记一次安服仔薅洞实战(lucky)
## # 记一次安服仔薅洞实战 在一个阳光明媚的工作日,一位安服仔突然接受到了上级的任务,任务竟然是对整个区收集漏洞,数量要求还不是一般多,这可难倒了安服仔,安服仔本想着安安心心过(...文章来源:
阅读全文一款 Nacos 综合漏洞利用工具——NacosExploit
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈
阅读全文Windows 进程间通信深度解析 Part 4 - RPC 安全与绑定认证
欢迎来到 IPC 系列的第四部分——这也是专门讲解 RPC 的第三篇文章。今天我们要讨论的是:RPC 安全机制,这将帮助我们完整理解 RPC 底层的工作原理。RPC 安全是一个深度且复杂的话题,主要原
阅读全文