FreeBuf互联网安全新媒体平台

Windows与VMware零日漏洞正被勒索软件和APT组织利用，OpenSSH十年老漏洞重现，管理员需立即进行修复。

苹果紧急修复第三个在2025年被利用的零日漏洞CVE-2025-24201，攻击者通过恶意网页突破沙箱限制，影响多款设备。

JSON Web令牌（JWT）是一种标准化格式，用于在系统之间发送经过加密签名的JSON数据。

马斯克回应其社交媒体平台 X 出现故障的问题，称其为一次针对 X 的大规模网络攻击。

这种漏洞是由于缓存服务器和源服务器在处理请求时存在差异而产生的。

风险要素的核心是资产，而资产的脆弱性/漏洞/弱点是必然存在的

网宿安全团队结合新标准的发布，以及行业多年的实践经验，对信息安全风险管理工作进行了深入的分析与解读。

瑞士NCSC要求关键基础设施组织在遭受网络攻击后24小时内报告，否则将面临高额罚款。

谷歌2024年向漏洞猎人们支付了1800万美元，累计奖金超6500万，安卓和云漏洞奖励达新高，展现其持续强化安全防护的紧迫决心。

朝鲜 Lazarus 黑客通过 npm 包发起供应链攻击，窃取凭证、部署后门并提取加密货币信息。

本文剖析16种金融支付漏洞，如价格篡改、并发攻击等，附代码示例，探讨原理与防护措施。

攻击者可以利用反射型XSS漏洞，通过在目标网站中注入恶意iframe代码，加载攻击者的网站，并修改window.name来执行跳转和弹出窗口攻击。具体步骤如下：攻击者在目标网站的输入框或URL参数中注

该组织自至少2012年以来一直活跃，主要目标是中亚国家的警察、军队、海事和海军部队。

无密码认证工具通过生物识别和硬件令牌，彻底改变数字安全，极大提升安全性，减少网络钓鱼和密码疲劳。

马斯克称其X平台遭大规模网络攻击，IP源自乌克兰

研究团队最近发现了一种复杂的浏览器攻击技术，该技术允许恶意扩展程序冒充受害者浏览器上安装的任何扩展程序。

一次域内渗透实战分享

在windows配置立马可以开启阻断不让dump hash或者开启审核有dump hash就会生成日志

验证机制是应用程序防御恶意攻击的中心机制。

在java开发中，spring是最受欢迎的一个框架，感兴趣可以去了解一下这个框架