FreeBuf互联网安全新媒体平台

KoSpy通过伪装成实用应用程序（如‘文件管理器’‘软件更新工具’和‘Kakao安全’）来感染设备。

测试微信小程序跟web网站基本相同，抓包测试接口，逆向看小程序源码。

全美29州逾8.6万名医护人员信息因AWS S3存储桶配置错误遭泄露，包含敏感PII和医疗文件。

黑客利用微软Copilot发起高仿钓鱼攻击，通过伪造发票邮件和虚假登录页面窃取用户凭据，威胁企业安全。

特朗普提名Sean Plankey掌权CISA；勒索病毒袭美逾300关键机构

这是spring内存马第二篇，主要学习实战中如何打内存马

生成式AI红队测试通过识别AI系统漏洞，应对如提示注入、数据泄露等独特风险，确保系统安全性。OWASP指南提供结构化方法，助力组织构建主动防御策略。

#后渗透 #文件同步 #轻量 #持久化 #正/反向隧道 #C++ #D-Link

本篇文章适合于面向刚开始分析CC链1的朋友。如有错误，也烦请大佬指点，不胜感激。

“模型有界、安全无疆”主题技术研讨会在西安圆满落幕。

至少400个IP地址被发现同时利用多个SSRF漏洞，攻击尝试之间表现出显著的重叠。

关于哪些职业会受到AI冲击的讨论从未停止，而渗透测试（Pentesting）最近也被推到了风口浪尖。

微软与VMware零日漏洞紧急修复指南；TP-Link漏洞感染超6000台设备

API攻击威胁加剧：59%的组织开放API“写入”权限，黑客可未经授权访问，导致数据窃取、账户接管等重大风险。

这些高级技术利用了身份验证工作流程中的漏洞，而非身份验证因素本身。

新型XCSSET恶意软件利用增强混淆技术攻击macOS用户，感染Xcode项目，窃取敏感信息，采用复杂持久化机制，威胁开发者安全。

AI 辅助的虚假 GitHub 仓库窃取敏感数据，伪装合法项目分发 Lumma Stealer 恶意软件。

谷歌紧急警告：别对Chromecast进行出厂重置。过期证书导致2000万台设备无法正常运行，用户陷入“变砖”困境。

网络安全行业深陷倦怠危机，CISO及其团队面临高强度压力与人才流失。

其根源在于可预测的加密密钥和 nonce 重用，使得即使没有直接系统访问权限，也能解密存储的秘密信息。