Aggregator

前几天看《大道：段永平投资问答录》里，段永平多次建议，要有个不为清单。我认真想了，试着写一个。

亚马逊警告其2亿用户警惕Prime会员诈骗邮件。骗子通过伪造亚马逊邮件，声称Prime订阅将自动续费，并附带虚假链接诱导用户输入个人信息或支付细节。亚马逊提醒用户不要点击链接，并建议检查账户信息中心以确认邮件真实性。同时建议启用双重验证和安装网络保护软件以防钓鱼攻击。

一种既敏捷又稳健的数据处理流程，真正实现从数据到洞察的极速转化

这篇文章提到CrystalDiskMark和CrystalDiskInfo这两个工具从特定版本开始嵌入了广告软件（*ads.exe），导致潜在安全风险。

Когда приватный ИИ стал публичным.

Grok 4 is a huge leap from Grok 3, but how good is it compared to other models in the market, such as Gemini 2.5 Pro? We now have answers, thanks to new independent benchmarks. [...]

实力霸榜！360再登《数字安全护航技术能力全景图》

360独家截获定向攻击：AI开发工具藏毒！黑客篡改插件洗劫加密货币

作者在备考期间因压力巨大而尝试通过Google Dorking放松，在发现Philips机密文件后负责任地报告漏洞，最终被该公司授予Hall of Fame荣誉。

文章介绍利用Docker容器创建便携、可重复和可定制的黑客实验室的方法，适用于漏洞赏金猎人、渗透测试员和CTF爱好者。传统工具分散安装复杂且常出现依赖冲突和更新崩溃等问题。通过容器化环境隔离工具运行，避免影响宿主机。

在欧洲AI与社会基金支持下，团队通过技术调查揭示数字劳动平台数据滥用问题，并推动法律行动。借助逆向工程和工人参与，成功使Glovo被罚款500万欧元。团队开发工具包降低证据收集门槛，并计划扩展至其他行业和国家。目标是平衡数字职场中的权力失衡。

文章介绍了FortiGate防火墙与Wazuh的安全日志集成方案，通过Syslog协议实现日志传输与分析。Wazuh利用解码器和规则将原始防火墙日志转化为结构化数据并生成告警，提升威胁检测与响应能力。

安全研究员发现某SaaS平台widget功能存在IDOR漏洞，通过修改UUID可无限制访问其他用户widget，导致账户接管风险。该平台服务超10万家公司，缺乏二次认证机制。

一位安全研究员发现某SaaS平台widget功能存在IDOR漏洞,可通过修改UUID参数无限制访问和编辑其他用户widget,导致账户接管风险,揭示现代网络防御缺陷及多层安全必要性.

一位网络安全研究员通过Nmap扫描发现某测试网关漏洞，利用该漏洞获取了生产凭证。

一位网络安全专家通过Nmap、subfinder等工具扫描发现目标公司测试环境中的开放端口，并利用该端口获取了生产凭证。

利用文件名末尾的点或空格绕过Windows服务器的文件上传验证机制，操作系统自动去除这些字符后导致恶意脚本成功上传。

攻击者利用Windows系统对文件名末尾的点或空格处理特性，上传恶意文件绕过扩展名验证。例如，将恶意文件命名为shell.php.后上传，系统会自动去除末尾的点并保存为shell.php，从而成功上传恶意代码。