FreeBuf互联网安全新媒体平台

网宿安全团队结合新标准的发布，以及行业多年的实践经验，对信息安全风险管理工作进行了深入的分析与解读。

瑞士NCSC要求关键基础设施组织在遭受网络攻击后24小时内报告，否则将面临高额罚款。

谷歌2024年向漏洞猎人们支付了1800万美元，累计奖金超6500万，安卓和云漏洞奖励达新高，展现其持续强化安全防护的紧迫决心。

朝鲜 Lazarus 黑客通过 npm 包发起供应链攻击，窃取凭证、部署后门并提取加密货币信息。

本文剖析16种金融支付漏洞，如价格篡改、并发攻击等，附代码示例，探讨原理与防护措施。

攻击者可以利用反射型XSS漏洞，通过在目标网站中注入恶意iframe代码，加载攻击者的网站，并修改window.name来执行跳转和弹出窗口攻击。具体步骤如下：攻击者在目标网站的输入框或URL参数中注

该组织自至少2012年以来一直活跃，主要目标是中亚国家的警察、军队、海事和海军部队。

无密码认证工具通过生物识别和硬件令牌，彻底改变数字安全，极大提升安全性，减少网络钓鱼和密码疲劳。

马斯克称其X平台遭大规模网络攻击，IP源自乌克兰

研究团队最近发现了一种复杂的浏览器攻击技术，该技术允许恶意扩展程序冒充受害者浏览器上安装的任何扩展程序。

一次域内渗透实战分享

在windows配置立马可以开启阻断不让dump hash或者开启审核有dump hash就会生成日志

验证机制是应用程序防御恶意攻击的中心机制。

在java开发中，spring是最受欢迎的一个框架，感兴趣可以去了解一下这个框架

解析11种“盗U”套路，从钓鱼网站到SIM卡交换，详解技术细节，提供实用防护建议。

资产搜索时发现某学校的统一身份认证处的找回密码功能，发现需要对应手机号，前期信息收集中并未找到某个学生的手机号，但是其系统存在找回手机号功能，需要对应学生的学号和身份证号，所以我们接下来需要去找到某一

Black Basta 勒索软件组织泄露大量内部聊天记录，揭示其全球攻击策略与工具库，对 500 多家实体造成严重威胁，尤其是医疗行业，双重勒索手段使其成为网络安全领域的重大挑战。

4300万Python安装面临RCE攻击！未注册依赖项漏洞（GHSA-wmxh-pxcx-9w24）威胁严重。

处置旧设备时，数据未彻底删除可能被恢复，导致身份盗窃、金融欺诈或企业数据泄露。立即采取安全擦除或物理销毁措施，避免敏感信息落入不法分子之手。

#gogs #Craft-API #py-eval #vault-toke-SSH权限提升