FreeBuf互联网安全新媒体平台

本文记录介绍了本人学习Java反序列化漏洞中CC1链的实现过程及原理。

DeepJavaLibrary 绝对路径遍历

本期《Security Affairs》周报揭露了多起重大网络攻击事件，包括勒索软件绕过EDR检测、国际执法行动查封非法交易所，以及多个关键漏洞被利用，凸显网络安全形势的严峻性。

本章主要讲解如何扩大平时渗透测试或者SRC的攻击面，都是一些最为常见以及基础的收集方式

如何抓包是渗透测试的第一步，本文章讲解了常见的抓包方式以及转发流量。

最重要的点在于要修改MySleep的返回地址，让工具无法栈回溯，并且要在结束之后还原被Hook函数的各种信息

#Jarmis API #Gopher-SSRF #OMI权限提升 #jarmis-omi

日本电信巨头NTT遭遇数据泄露，波及1.8万家企业，客户信息可能外泄。

推送通知被恶意利用，诱骗用户点击虚假信息，导致个人信息泄露和有害应用下载。

Java代码审计之某edu CMS漏洞分析

#Git #AWS-Function #Lambda #JWT #Flask-SSTI #tar-h(ln hijack)权限提升

国内网络安全行业走向何方

物理渗透测试揭示家具零售商 ExCorp 的关键漏洞，攻击者利用未锁定设备、USB 端口和暴露网络插座轻松入侵内部网络，严重威胁数据安全，警示企业需兼顾物理与网络安全。

我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

麒麟（Qilin）勒索软件团伙近日宣称成功入侵乌克兰外交部，并窃取了敏感数据。

前言相信各个师傅都收到了消息，今年的护网将是常态化护网，周期非常的长。在这几天，已经有各大厂商开始陆续的收集简历了吧，相信以护网的薪酬，大家都想分一杯羹。那么我们学会应急响应是必不可少的！让我们也马上

Applus+ Laboratories创立于1907年，是西班牙最大的检测与认证机构，全球领先的网络安全测试与认证服务提供商，有20+网络安全认证实验室、200+网络安全专家、业务遍布全球65+国家和地区。

恶意软件冒充热门Go库，通过“typosquatting”手段感染Linux和macOS系统，执行远程代码并下载恶意脚本，威胁开发者安全。供应链攻击持续升级，亟需防范。

GitHub Copilot 通过智能代码建议和自然语言处理，革新了日志分析，显著提升安全事件响应效率，助力企业应对 PB 级日志数据挑战。