不安全

作者通过开发名为“RottenTomato”的端点检测与响应（EDR）工具，展示了从简单Windows驱动到功能齐全安全工具的构建过程。该工具利用内核回调机制监控系统事件，并结合静态分析和远程注入功能实现对可疑进程的检测与拦截。

文章描述了一种通过利用DOM Clobbering技术，在允许的HTML标签中注入特定ID或NAME属性的元素，覆盖目标页面的全局JavaScript变量或方法，从而绕过严格的CSP策略，并执行恶意操作的方法。这种方法成功获得了漏洞赏金。

文章介绍了双因素认证（2FA）的概念及其三种认证方式，并展示了如何绕过这些安全措施，揭示了潜在的安全漏洞。

Django发现严重漏洞CVE-2025–57833，允许攻击者通过PostgreSQL实现远程代码执行及所有数据库SQL注入。漏洞源于使用`FilteredRelation`与`select_related`函数构造恶意SQL查询。攻击者可利用PostgreSQL的`COPY`和`PROGRAM`功能执行反向shell以获取控制权。

文章强调掌握SQL技巧在漏洞挖掘中的重要性，并介绍从基础到高级的学习路径及推荐的练习平台如SQLite、MySQL/MariaDB和PostgreSQL。

文章介绍了一种利用单圈环形天线和平衡器构建高性能VLF接收器的方法。通过等效电路模型解释了设计原理，并探讨了导体厚度、环形大小及多圈设计对性能的影响。最终指出单圈加合适平衡器是最有效的方案。

文章建議從簡單開始使用Obsidian，避免追求完美系統。先養成寫作習慣，在持續累積筆記後逐步添加功能和優化結構。強調持續性和專注於整理思緒的本質的重要性。

Jacob利用RTL-SDR和GNU Radio分析了其孩子RC玩具车的27MHz RF通信协议。他通过Amplitude Shift Keying（ASK）调制方式解码信号，并生成比特流进行进一步处理。

r/ReverseEngineering是一个经过审核的社区，专注于逆向工程相关的内容和讨论。该社区为用户提供了一个分享知识、工具和经验的平台，并拥有大量成员和活跃的讨论区。

SaaS提供商Workiva因第三方CRM系统被入侵导致部分用户数据泄露，包括姓名、邮箱、电话号码及支持工单内容。此次事件与针对Salesforce的大规模数据泄露有关，涉及ShinyHunters勒索团伙。

当前网络环境出现异常，需完成验证后方可继续访问。

网络犯罪分子利用Meta广告平台伪装成TradingView免费高级应用传播Brokewell恶意软件，针对安卓用户和加密货币资产。该恶意软件可窃取敏感数据、远程控制设备，并通过Tor网络接收指令。研究人员发现广告盗用品牌元素诱导下载恶意文件，并获取设备权限以实施攻击。

英国零售巨头乐购起诉博通索赔1亿英镑，因博通要求将其购买的VMware永久许可证转为订阅模式才能提供升级和支持服务。乐购原支持合同至2026年可延长至2030年，但博通收购VMware后废止这些合同。

视频播客成为播客行业热点，B站、小红书等平台推出扶持计划吸引创作者。目前内容形态多样但尚未成熟，依赖平台支持。未来能否持续发展取决于新创作者能否稳定输出有深度的内容。

微软承认8月更新导致Windows 10/11及部分服务器版本出现UAC验证问题，影响企业用户安装和启动软件，计划修复。

当前环境出现异常,需完成验证后方可继续访问。

谷歌推出 Nano Banana 工具助力 Gemini 获得 1,000 万新用户，并更名为 Gemini 2.5 Flash Image。免费版用户每天可编辑 100 次，付费版为 1,000 次。谷歌新增明水印和盲水印以识别 AI 图片。

/r/netsec是一个由社区管理的技术信息安全内容聚合器，旨在提取有价值的信息并提供给安全从业者、学生、研究人员和黑客。

Cloudflare 的 1.1.1.1 DNS 服务器被 Fina CA 错误签发 12 份数字证书，用于内部测试时 IP 地址填写错误。Cloudflare 和微软未及时发现并处理问题，导致 Windows 和 Edge 用户面临安全威胁。

Atlassian以6.1亿美元收购The Browser Company及其浏览器Arc和Dia。Dia内置AI功能，支持多任务协作和自定义技能，并提供付费Pro版本。此次收购旨在推动浏览器创新与AI整合。