FreeBuf互联网安全新媒体平台

Sa7mon-S3scanner是一款针对S3 Bucket的错误配置扫描工具，该工具兼容S3 API，可以扫描开放S3 Bucket中潜在的错误配置信息。

报告显示，2024年网民网络安全感满意度指数为75.179，与2023年相比上升了2.665，指数上升幅度明显，实现连续6年上升。

一些热门的npm包遭到入侵，攻击者利用窃取到的令牌将带有加密挖矿恶意软件的版本发布到了官方包注册表中。

Builder.ai由于数据库配置错误，该平台遭遇了重大数据泄露事件，共计泄露数据超过300万条，1.29TB。

Rspack的开发人员透露，他们的两个npm包在一场软件供应链攻击中，被攻击者在官方包注册表中植入挖矿病毒。

我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

总结推荐本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

0x1前言浅谈这篇文章给师傅们分享下前段时间跟其他师傅学习和交流的Webpack相关漏洞，这个漏洞相对来说比较冷门，在web漏洞中不是那么的热度高，但是平常去挖掘和发现这个漏洞相对来说还是不难的。后面要是有机会可以给师傅们分享下油猴的相关脚本去找Webpack漏洞泄露的js敏感路径，然后打一波Webpack漏洞。在企业src和众测中有些平台还是收的，不收的话就当学习了，收了咱们就赚了哈！[upl-

给师傅们整理了下pdf木马制作的过程以及最后面分享下我一次在测文件上传最后也是getshell了。

尽管LLMs具有巨大的潜力，但网络犯罪分子并未充分利用这一技术来提升其攻击能力。

Fortinet 披露了FortiWLM中的一个严重漏洞，该漏洞允许远程攻击者通过特制的 Web 请求执行未经授权的代码或命令来接管设备。

Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。

国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。

部分第三方公司，为了方便运维，会在服务器部署远程软件或者是内网穿透工具，如果该供应链遭受打击，那么基本可以说G。所以无思路时，不妨考虑考虑远程软件。

一项新的社会工程活动显示，大量攻击者利用微软Teams作为部署已知恶意软件DarkGate的手段。

安全研究人员在流行的Apache Tomcat和servlet 容器中发现了两个严重漏洞，可能允许攻击者执行远程代码并导致拒绝服务。

BOD 25-01指令旨在通过强制云服务实施安全措施来减少美国联邦网络的攻击面。

攻击者通过利用此漏洞，可以绕过安全措施，未经授权访问敏感文件并进行任意的文件系统写入。

摩根大通网络安全专家警告：CVSS存在重大缺陷，可能导致安全团队对漏洞风险误判，从而延长漏洞的暴露时间，增加组织面临的风险。

据以色列新闻媒体报道，一家美国私募股权公司已完成对以色列间谍软件公司Paragon的收购交易。