FreeBuf互联网安全新媒体平台

这是逼着在2020年完成的一个实战靶机，最近偶然回顾并进行了新的思考。

漏洞描述Apache Shiro before 1.7.1, when using Apache Shiro with Spring, a specially crafted HTTP request

总结推荐本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

相比前十年的大跨步发展，2024年的网安产业整体表现只能用“平淡”来形容，但在一些领域仍有可圈可点的成绩。

Tyrant 是一个 SUID 二进制特权升级工具，权限提升或进行横向移动。

朝鲜黑客组织Andariel利用RID劫持技术，通过修改Windows系统SAM注册表，将低权限账户伪装为管理员账户，隐蔽提升权限，威胁系统安全。

我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

您的网站是否正在泄露敏感数据？最新研究显示，45%的第三方应用在未经适当授权情况下访问用户信息。

一名黑客用假恶意软件生成器感染1.8万名“脚本小子”，植入后门窃取数据并控制设备，全球范围内受影响，部分设备仍被感染。

斯巴鲁在2024年底被发现一个关键漏洞，美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。

该程序通过监听鼠标是否移动和播放视频状态，自动锁定屏幕。若鼠标在设定时间内无活动，且没有视频播放，则触发屏幕锁定功能。

生成式人工智能的发展既带来了有益的生产力转型机会，也提供了被恶意利用的机会。

这种投毒攻击方式不仅隐蔽性强，还可能通过软件供应链传播到更广泛的用户群体中。

SonicWall SMA 1000系列设备曝高危漏洞CVE-2025-23006，已遭野外利用，攻击者可远程执行任意命令，企业需立即修复！

该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。

特朗普迅速采取行动，取消对人工智能发展的任何限制，并为一家美国拥有的人工智能合资企业筹集了 5000 亿美元的投资承诺。

已有数十名Chrome扩展开发者成为攻击的受害者。

记录一次公益SRC常见的cookie注入漏洞

Android平台从上到下，无需ROOT/解锁/刷机，应用级拦截框架的最后一环，SVC系统调用拦截。

在红蓝对抗过程中，文件传输是后渗透场景中的关键步骤。文件传输有多种方法，在本文中我们将逐一介绍。