不安全

一位安全研究员发现某SaaS平台widget功能存在IDOR漏洞,可通过修改UUID参数无限制访问和编辑其他用户widget,导致账户接管风险,揭示现代网络防御缺陷及多层安全必要性.

一位网络安全研究员通过Nmap扫描发现某测试网关漏洞，利用该漏洞获取了生产凭证。

一位网络安全专家通过Nmap、subfinder等工具扫描发现目标公司测试环境中的开放端口，并利用该端口获取了生产凭证。

利用文件名末尾的点或空格绕过Windows服务器的文件上传验证机制，操作系统自动去除这些字符后导致恶意脚本成功上传。

攻击者利用Windows系统对文件名末尾的点或空格处理特性，上传恶意文件绕过扩展名验证。例如，将恶意文件命名为shell.php.后上传，系统会自动去除末尾的点并保存为shell.php，从而成功上传恶意代码。

文章探讨了设计不当的函数/工具如何导致应用程序安全漏洞，特别是在生成式AI代理中，“不安全的输出处理”成为第二大关键问题。文章通过一个案例展示了设计缺陷如何导致敏感数据泄露或恶意输入注入的风险。

本文探讨了服务器端模板注入（SSTI）这一高风险低关注度的安全漏洞。通过分析模板引擎的工作原理及用户输入处理方式，揭示了未经验证或消毒的用户数据可能导致恶意代码注入的风险。文章以Flask+Jinja2为例展示了漏洞利用过程，并探讨了其可能导致的数据泄露、远程代码执行等严重后果。同时提供了识别和防范该漏洞的方法与建议。

这篇文章介绍了服务器端模板注入（SSTI）的概念及其影响，讨论了常见模板引擎的工作原理和潜在风险，并提供了检测和利用SSTI的方法以及防御建议。

实时应用中常见的WebSocket协议因缺少身份验证检查可能导致用户数据、令牌或账户被攻击者窃取。

一位安全研究人员发现某域名平台价格字段未进行服务器端验证,可随意篡改价格。他将$239域名改为$1并成功下单,随后负责任披露漏洞但未获回复,漏洞至今未修复。该问题暴露企业对客户端信任的严重缺陷,强调所有关键逻辑必须服务器端验证。

通过7天实战挑战，从零开始掌握渗透测试技能，每天动手练习真实世界技巧，使用免费工具如VirtualBox和Kali Linux。

中国当局利用名为Massistant的恶意软件从被扣押手机中提取数据，包括短信、图片、位置记录等。该工具由厦门美亚柏科开发，需物理接触设备即可运行。其使用范围广泛，可能对在中国的居民和旅行者构成隐私威胁。

当前环境异常，需完成验证后方可继续访问。

Google在2025年修复了多个Chrome漏洞，包括五个零日漏洞（如CVE-2025-6554、CVE-2025-6558等），这些漏洞被积极利用于野外观测攻击中，可能涉及国家支持的攻击者和商业间谍软件。修复措施已发布以应对这些安全威胁。

当前环境出现异常状态，需完成验证后才能继续访问操作。

由于环境异常，用户需完成验证后方可继续访问。

当前环境异常，需完成验证后方可继续访问，页面提供“去验证”按钮。

当前环境异常，请完成验证后继续访问。

思科塔洛斯团队分析了两起勒索软件攻击事件：一起因及时干预成功阻止加密，另一起因延迟响应导致几乎全部加密。文章强调早期干预的重要性，并指出攻击者利用类似工具和战术，但响应时间是决定性因素。

Google发布Chrome安全更新修复六个漏洞，其中高危CVE-2025-6558已被利用，影响ANGLE和GPU组件，可能导致沙盒逃逸。建议用户尽快升级至最新版本以防范风险。