亚马逊利用110毫秒"延迟"捕获朝鲜间谍;零点击漏洞肆虐的2025年 | FreeBuf周报
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🏳️🌈110毫秒的真相:亚马逊如何利用"延迟"捕获朝鲜间谍🌐零点
阅读全文AUTOSAR简单介绍
点击上方蓝字谈思实验室获取更多汽车网络安全资讯AUTOSAR软件架构AutoSAR主要分为3个层级:应用软件层(AppL),实时运行环境(RTE)和基础软件层(BSW)。01 应用软件层(Appl)A
阅读全文SecWiki周刊(第614期)
本期关键字: 威胁情报黑名单、恶意操控、邮件陷阱、域名注入、蜜罐系统、网络流量分类、TLS1.3、RFC规范、XGBoost分类器、RCE命令执行靶场。2025/12/01-2025/12/07安全技
阅读全文国家安全部提醒:大模型安全问题不可忽视
当AI助手为教师快速生成教案,当智能音箱提醒独居老人按时服药,当“提示词工程师”成为新兴职业……AI大模型加速赋能千行百业,重塑我们的生产生活。然而,技术发展的背后,新型安全挑战也随之而来。近日,国家
阅读全文[强网杯S9]Qcalc赛题解析
首先是查看导出的Activity 只有MainActivity导出,但发现有导出的contentProvider看看是否存在路径穿越检测了私有目录,这个漏洞点可以直接放弃。审计MainAcitivy
阅读全文安全圈 “露脸” 机会!看雪兼职讲师团招新,技术分享=行业背书+精准圈粉
数字化时代下,网络攻击、数据泄露等安全威胁持续升级,网络安全已成为全球关注的核心议题,行业对优质安全人才的需求日益扩大。深耕网络安全领域20余年的看雪学苑,作为国内最早的安全工程师交流社区,始终以培养
阅读全文自研C2【XC2】1.0.6版本发布,新增屏幕截图、新增隧道代理【SOCKS5】
前言之前已经发布了五个版本,目前为第六个版本,做了很多优化,新增了屏幕截图、隧道代理等。自研C2【XC2】1.0.5版本发布,新增C++植入端【支持生成DLL】、新增Windows服务端、双端通信加密
阅读全文Shiro漏洞利用工具合集
ShiroEXP——Shiro漏洞利用工具使用教程爆破key及加密方式漏洞验证爆破回显链命令执行Shell模式注入内存马全局代理关注公众号回复“20251225”获取工具地址。
阅读全文OAExploit一款基于产品的一键扫描工具
项目简介一款扩展性高的渗透测试框架渗透测试框架(完善中)闲言碎语出现卡死的几种情况:已修复 /(ㄒoㄒ)/~~长期改Buging And 目前只支持部分EXP 利用(慢慢写ing)😘 喜欢就给个sta
阅读全文图形/滑块验证码场景下的登录密码喷洒爆破
图形/滑块验证码场景下的登录密码喷洒爆破前言最近跑到北京来两周,跟广东最冷的时候有的一拼,这周燃尽了,各种奇怪的想法加API剑,狂薅10+个高危;本文主要分享其中一个,在发现某些系统存在默认密码并且获
阅读全文Spring-Gateway RCE 漏洞,CVE-2022-22947&CVE-2025-41243 环境部署及源码分析
说明:【闪石星曜Java代码审计零基础到高阶实战班】学员 oLy 投稿。可点击下方二维码关注。如果你想零基础系统化掌握Java代码审计,并且通过大量实战进阶提升,一对一指导式学习,可点击下方链接了解我
阅读全文2026年·第一季 170节【闪石星曜@Java代码审计零基础到高阶实战班】,一对一学习指导,持续迭代更新式课程......
往期基础部分录播+直播回放2026第一季实战直播课程,讲完这些还会继续迭代!点击大图,可查看详细介绍从目录上可以看到,2026年,新增了不少实战课程。本套课程专为希望系统掌握Java代码审计的学习者设
阅读全文Cuttlefish安卓模拟器最新DEB包下载获取脚本
cuttlefish现在更新支持在线安装了。不用费劳什子劲自己编译了。为了方便直接取deb下载地址,我弄了给脚本,直接执行取最新版本的DEB安装包下载链接。注意执行需要科学上网。#!/usr/bin/
阅读全文CurseForge 中 WebSocket 导致远程代码执行的情况
威胁简报恶意软件漏洞攻击介绍几个月前发现SuperShy 远程代码执行漏洞后,我开始深入研究 WebSocket。出于好奇,我开始四处搜寻系统上其他会定期暴露绑定到回环接口的本地 WebSocket
阅读全文MongoDB 未经身份验证的攻击者敏感内存泄漏
威胁简报恶意软件漏洞攻击攻击者可能利用 Zlib 窃取数据 太长不看MongoDB 严重内存泄漏情况:一个重大漏洞允许未经身份验证的攻击者远程泄露 MongoDB 服务器内存中的敏感数据。无需登录。
阅读全文OpenRASP SQL注入绕过
公众号:XG小刚最近遇到了一个OpenRASP拦截的SQL注入,黑盒绕半天没什么效果。本想着研究一下它的拦截原理,刚好看到了腾讯xcheck团队几年前的一篇绕过文章《OpenRASP SQL注入绕过》
阅读全文第144篇:Docker+CTFd 动态靶场环境后台配置及题库部署的踩坑全记录(下篇)
Part1 前言 大家好,我是ABC_123。接下来继续写完CTFd动态靶场环境搭建的剩余部分。虽然这套CTFd动态靶场坑很多,但是解决这些坑点过程,还是有不少收获。 Part2 技术研究过程 CT
阅读全文Trust Wallet 插件钱包用户700万美金被盗事件解析
"He who controls the spice controls the universe"(控制香料者,控制宇宙)这是攻击者在恶意服务器上留下的一句话。这句出自科幻小说《沙丘》的名言,在 20
阅读全文APP逆向分析工具V4.5
APP自动化测试工具V4.3Unity手游无Root注入工具APK高级加密工具 - 专业版 v4.0Android开发智能调试分析软件V7.2Smali/AAR/JAR/DEX/APK逆向分析转换工具
阅读全文Eurostar AI 聊天机器人漏洞:当客服机器人“脱轨”
核心要点在 Eurostar 的公开 AI 聊天机器人中发现了 4 个问题:防护栏绕过、未校验的对话与消息 ID、可泄露系统提示词的提示注入,以及会导致自我 XSS 的 HTML 注入。用户界面看起来
阅读全文巨头年鉴:阿里修路、腾讯种树、华为造桥,而字节乘风
年末之际,哪家科技公司风头最劲?字节跳动无疑占得一席。从豆包输入法到AI手机,一系列新品持续引爆话题;紧接着,其职级与薪酬体系的调整,再次搅动了市场的关注。一、百度退场,阿里有钱,腾讯有根,华为有基座
阅读全文【招聘安全】-纽约初创交易所(50-180K,可远程办公,美国、新加坡)
号主内推,欢迎投递。纽约初创交易所招聘,远程办公,可选base地:美国、新加坡、马来西亚、阿布扎比1) Security Management Lead中文岗位名:安全管理负责人(权限与安全治理方向)
阅读全文CVE-2025-14847 - MongoDB Unauthenticated Memory Leak
漏洞简介MongoDB 是一种流行的开源 NoSQL 数据库,用于以灵活的、基于文档的格式存储和管理数据。它将数据存储为类似 JSON 的文档(称为 BSON),而不是像传统 SQL 数
阅读全文【第五空间简史】第15节 凯文·米特尼克被捕(1995)
1995年2月15日凌晨,北卡罗来纳州罗利市一间不起眼的公寓内,FBI特工破门而入,逮捕了凯文·米特尼克(英语:Kevin David Mitnick,1963年8月6日—2023年7月16日)。他当
阅读全文【狂撒福利】OSRC 年终盛典抽奖通道提前开启!
各位 OSRC 的白帽师傅们,年终重磅福利来袭!OSRC 年度盛典专属抽奖通道今日正式开放,所有 2025 年在平台提交过有效漏洞的白帽,均可参与!超高价值奖品池已就位,12 月 27 日 10:00
阅读全文网安原创文章推荐【2025/12/26】
2025-12-26 微信公众号精选安全技术文章总览洞见网安 2025-12-26 0x1 Microsoft Windows SDK 权限提升挖掘过程?秋风的安全之路 2025-12-26 23
阅读全文【已复现】Windows PowerShell 命令注入漏洞(CVE-2025-54100)
● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Windows PowerShell 命令注入漏洞漏洞编号QVD-2025-47564,CVE-2025-54100公开时间2025-12-
阅读全文某链商被黑致超13亿元资产被盗,监管机构责令安全整改并赔偿受害用户
Nomad在新版本中引入了重大漏洞,导致超13亿元的加密货币资产被盗,用户损失惨重;Nomad最初被宣传为一款“安全优先”的产品,但背后公司却在网络安全的多个方面存在不足,FTC要求其执行全面改进。美
阅读全文