Finding Large Bounties with Large Language Models - Nico Waisman - ASW #351
文章探讨了软件漏洞及大语言模型(LLMs)在代码生成和漏洞检测中的应用。Nico Waisman介绍了XBOW的LLM基渗透测试技术及其在漏洞赏金榜单上的表现,并讨论了反馈循环和幻觉处理方法。此外,还涉及了利用LLMs发现漏洞、目录遍历问题、云与AI安全资源及电子表格安全等内容。
不安全
CrowdStrike ties Oracle EBS RCE (CVE-2025-61882) to Cl0p attacks began Aug 9, 2025
1 day ago
CrowdStrike将Oracle EBS漏洞CVE-2025-61882(CVSS 9.8)与Cl0p组织关联,该漏洞允许未认证远程代码执行,首次攻击于2025年8月9日。Cl0p利用此漏洞进行数据窃取攻击,Oracle已发布紧急补丁修复。
Windows 10 支持终止日倒计时 7 天,如何注册 ESU 计划?
1 day ago
Windows 10将于2025年10月14日结束支持。微软提供免费的ESU计划,为符合条件的设备提供关键安全更新,但无新功能。注册需设备运行特定版本、安装最新更新,并使用管理员Microsoft账户。
Discord warns users after data stolen in third-party breach
1 day ago
Discord因第三方客服提供商被攻破而遭遇数据泄露,涉及用户姓名、邮箱等信息及部分账单和敏感文件。攻击者利用社会工程学手段作案, Discord已采取措施应对并通知受影响用户。
13-Year-Old Redis Flaw Exposed: CVSS 10.0 Vulnerability Lets Attackers Run Code Remotely
1 day ago
Redis披露了一个最高级别的安全漏洞(CVE-2025-49844),可导致远程代码执行。该漏洞影响所有版本的Redis,默认配置下可被利用。已发布补丁修复,并建议限制Lua脚本执行权限以应对风险。
CVEs Targeting Remote Access Technologies in 2025
1 day ago
La gestione degli asset, pilastro della sicurezza delle informazioni
1 day 1 hour ago
Giuseppe Alverone 是隐私与网络安全顾问及培训师,持有 DPO 证书。他是 DATA FABER 公司创始人,在数据保护与风险管理领域拥有丰富经验。曾为意大利宪兵队高级官员,现专注于帮助企业与政府机构应对 GDPR 和 NIS 2 法规,并著有多本相关书籍。
NIS2, nasce il referente CSIRT: ruolo, scadenze e impatti operativi per le organizzazioni italiane
1 day 1 hour ago
意大利国家网络安全局引入Referente CSIRT角色,负责与CSIRT Italia沟通及处理通知流程。新规定取代旧条例,明确使用ACN门户及NIS服务的程序,并细化需提供的信息。Referente CSIRT由Punto di Contatto指定,需具备基础网络安全和事件管理能力,并深入了解组织系统和网络。
Microsoft Links Storm-1175 to GoAnywhere Exploit Deploying Medusa Ransomware
1 day 1 hour ago
微软追踪到威胁组织Storm-1175利用Fortra GoAnywhere软件中的关键漏洞CVE-2025-10035(CVSS评分:10.0)部署Medusa勒索软件。该漏洞可能导致命令注入和远程代码执行。攻击者通过此漏洞进行系统和用户发现、维持访问并部署工具以实现横向移动和恶意软件传播。微软确认该漏洞自2025年9月起被活跃利用,而Fortra尚未提供透明信息以解释漏洞细节及为何未及时披露。
GTM Strategies for Crypto in 2025: An Interview with Liquidity Land
1 day 1 hour ago
Liquidity.land是一个TVL-bootstrapping平台,旨在创建非托管激励市场,帮助去中心化金融项目获取流动性激励。
Understanding Eye Vein Biometrics
1 day 1 hour ago
眼静脉生物识别技术利用近红外光扫描眼睛血管图案进行身份验证。该技术因高安全性、无需接触和高精度而备受关注,但也面临成本高昂和隐私担忧等挑战。其应用涵盖金融、医疗和政府等领域。
Detection Engineering: Practicing Detection-as-Code – Monitoring – Part 7
1 day 1 hour ago
文章讨论了检测工程中常被忽视的维护问题,并介绍了通过自动化监控和调整检测规则以确保其有效性和及时性的方法。
Survey Sees AI Becoming Top Cybersecurity Investment Priority
1 day 1 hour ago
一项全球调查显示,人工智能技术成为未来一年企业网络安全投资重点(60%),主要用于威胁检测、行为分析等领域。53%的企业优先利用AI弥补技能缺口,38%依赖外部服务提供商提供技术支持。专家指出AI代理需严格权限管理以避免数据泄露,并警告其可能成为攻击目标。尽管多数企业平衡主动防御与被动响应投入,但仅6%对防御能力充满信心。量子安全技术仍处试点阶段。
The Evolving Role of the CSO: From Technical Guardian to Business Strategist
1 day 1 hour ago
首席安全官(CSO)的角色已从技术防御转向战略业务领导,直接影响企业增长和客户信任。如今的CSO需将安全与收入增长挂钩,通过有效沟通和跨部门协作推动组织发展。
用 AI 帮我改善口吃:一段关于自我和解的旅程
1 day 2 hours ago
作者从小因口吃困扰,在与AI互动中找到沟通的安全空间,逐步克服表达焦虑。文章分析了口吃背后的心理与大脑机制,并提出借助AI的低摩擦输入、理性倾听及渐进式沟通训练等方法改善表达能力。
U.S. CISA adds Oracle, Mozilla, Microsoft Windows, Linux Kernel, and Microsoft IE flaws to its Known Exploited Vulnerabilities catalog
1 day 2 hours ago
美国网络安全机构CISA将Oracle、Mozilla、微软Windows、Linux内核和IE的多个漏洞加入已知被利用漏洞目录,并要求联邦机构在2025年10月前修复这些安全漏洞。其中Oracle E-Business Suite的高危漏洞CVE-2025-61882已被Cl0p勒索组织用于数据窃取攻击。
The TechBeat: 5 Best HR And Payroll Software For Small Businesses (October 2025) (10/7/2025)
1 day 3 hours ago
HackerNoon根据页面浏览量、互动和评论数对科技新闻进行排名,展示了当前最受关注的技术话题及其读者兴趣。
Hidden API Endpoints: The Hacker’s Secret Weapon
1 day 3 hours ago
作者Vipul在《The Hacker’s Log》中探讨了隐藏API端点的概念及其在网络安全中的重要性。这些未被记录或隐藏的内部路由用于调试和测试,可能被黑客利用进行攻击或漏洞挖掘。
Hidden API Endpoints: The Hacker’s Secret Weapon
1 day 3 hours ago
文章介绍了隐藏API端点的概念及其在网络安全中的重要性。这些未公开的内部接口常用于开发和测试,可能被黑客利用进行攻击或漏洞挖掘。
Adversary TTP Simulation Lab
1 day 3 hours ago
文章介绍了一个零成本的网络安全家庭实验室设置,使用Atomic Red Team模拟攻击、Elastic SIEM监控日志以及Sysmon捕获系统事件,并结合Cyber Kill Chain框架分析攻击路径。该实验室旨在帮助安全从业者或学习者在虚拟环境中实践攻击检测与防御技能。
Checked
1 hour 20 minutes ago
unSafe.sh - 不安全
不安全 feed