不安全

澳大利亚最大航空公司Qantas遭网络攻击，第三方客服平台泄露600万客户记录，包括姓名、邮箱等信息。未涉及信用卡等敏感数据。公司已隔离系统并配合调查。FBI警告黑客针对航空业的威胁增加。

Netcraft报告指出大型语言模型在识别登录网站时不可靠,易导致钓鱼攻击风险增加,并举例说明其结果可能被恶意利用。

该文章揭示了Vite框架中`@fs`机制存在的本地文件包含（LFI）漏洞（CVE-2025-30208），攻击者可通过构造特定查询参数读取服务器上的任意文件。该漏洞等级为高危至严重，并提供了详细的PoC代码和利用方法。

这篇文章介绍了一个Python脚本，用于演示CVE-2025-47170漏洞的利用。该脚本生成一个包含VBA宏的恶意Word文档（.docm），当用户启用宏时，会从HTTP服务器下载并执行VBScript payload（salaries.vbs），导致系统重启。该方法通过动态下载payload和隐藏执行步骤来绕过Windows Defender检测。

Moodle 4.4.0 存在认证远程代码执行漏洞（CVE-2024-43425），允许攻击者通过上传特定计算题触发系统命令执行。该漏洞影响多个版本（如4.1至4.4系列），需登录后利用。

该漏洞利用Windows .URL文件行为，在Windows 10/11中通过WebDAV或SMB路径远程执行代码。攻击者生成恶意.URL文件诱导受害者打开，系统自动连接远程路径执行任意代码。

该漏洞存在于Java-springboot-codebase 1.1版本中，允许攻击者通过未认证的API接口读取服务器上的任意文件。攻击者可构造特定请求路径访问敏感文件。

2018年发现的CPU推测执行攻击曾引发广泛关注和修复措施，但这些修复显著降低了性能。近期Ubuntu禁用部分保护机制以提升20%性能。英特尔与Canonical团队达成共识，认为Spectre攻击在GPU层面的缓解不再必要，因已在内核中解决。权衡后认为此类攻击难度高且数据窃取不易，更简单的方式攻击系统更现实。

随着网络威胁模仿合法行为增多，传统安全措施如防火墙和EDR效果有限。现代安全运营中心（SOC）采用多层检测策略，结合网络数据和行为分析技术（如NDR），提升威胁识别能力。

DARPA的AI网络挑战赛决赛启动，参赛队伍利用自主AI系统Buttercup寻找并修复软件漏洞。比赛为期十天，涉及30个真实世界开源程序的漏洞。获胜者将获得400万美元奖金。赛后，Buttercup团队将开源其系统并分享技术细节。

作者对当前工作感到厌倦，寻求新的挑战。转向网络安全领域，包括红蓝队、道德黑客等深入学习与实践。具备扎实的技术背景（编程、DSA、Web开发），愿意投入时间和精力学习复杂内容，并寻找全面的学习路线图和高质量课程推荐及实践平台建议。

网络钓鱼攻击利用品牌仿冒和PDF附件中的恶意链接或QR码诱导用户访问钓鱼网站或拨打电话。攻击者通过VOIP号码隐藏身份，并利用AI生成恶意URL扩大攻击面。

华为发布盘古 Pro MoE 模型，参数720亿，优化昇腾硬件，在推理性能上领先同类模型，并在Gitcode开放，但禁止欧盟使用。

澳大利亚航空巨头Qantas遭遇网络攻击，黑客通过第三方平台获取了600万条客户数据，包括姓名、邮箱、电话号码等。此次攻击与Scattered Spider网络犯罪组织相关，该组织利用社会工程学手段入侵企业系统。Qantas已采取措施控制事件，并加强安全防护。

当前环境异常,需完成验证后方可继续访问.

文章指出API在推动业务创新的同时也带来了管理难题，未记录的Shadow APIs和未退役的Zombie APIs成为主要安全隐患。这些API因缺乏监控和修复机制而易受攻击，可能导致数据泄露和合规问题。建议通过加强发现、治理和安全措施来应对这一挑战。

当前环境异常，需完成验证后才能继续访问。

意大利2025年数字化报告显示网络安全威胁日益复杂化，推动云计算、大数据管理和人工智能等技术快速发展。尽管市场增长显著（+12.4%），但企业仍需加强政策整合与技术应用以应对未来挑战。

当前环境异常，请完成验证后继续访问。

文章描述了作者希望使用Flipper Zero暂时关闭影响夜花园氛围的街灯，并询问是否可行。作者提到相关部门可通过遥控关闭灯光，并希望以此作为技术探索的起点。