FreeBuf互联网安全新媒体平台

#Ruby-pdfkit-RCE #Ruby YAML反序列化权限提升

本文是关于某商城系统代码漏洞分析学习

奇安信XLab实验室最新披露，在2024年12月1日至2025年2月3日期间，网络上涌现出高达2650个仿冒 DeepSeek的域名。

记录vulnhub靶场phineas的渗透测试过程

DeepSeek也深陷网络攻击的风暴之中，遭遇了持续的、大规模、高密度的恶意网络攻击，导致其服务时常处于中断状态。

美国HSHS医疗系统遭网络攻击，88.2万患者敏感信息泄露！攻击致系统全面瘫痪，社会安全号、病历等遭窃。医疗行业数据泄露频发，患者面临严重风险！

根据网络安全公司Surfshark的研究人员称，2024年有超过50亿个帐户遭到泄露，与2023年的7.3亿个帐户相比暴增8倍。

DeepSeek推出不到一个月，就深陷网络安全风波。

微软近日为受影响的用户提供了一个临时解决方案，以解决某些Windows 11 24H2系统无法部署安全更新的已知问题。

美国网络安全与基础设施安全局将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录。

Qualys对DeepSeek AI的蒸馏版DeepSeek-R1 LLaMA 8B变体进行了安全分析，揭示了其关键的安全和合规性问题。

DeepSeek遭遇的网络安全威胁，引发了网络安全专家的高度关注，并警示大模型安全面临严峻挑战。

Zyxel周二发布消息称，涉及多款旧DSL用户端设备（CPE）产品中的两个零日漏洞将不再提供修复措施。

这些威胁主要包括假冒网站、恶意软件分发以及虚假加密货币代币和IPO前股票的诈骗。

思科公司披露了其身份服务引擎（ISE）软件中的两个关键漏洞，CVE-2025-20124和CVE-2025-20125。

网络安全厂商运营人员驻场外包这件事为什么会发生，有什么特点，能不能纳入通用人力资源外包去管理。

最近经历了一些事，一直在折腾 RTSP 协议的攻击可能性，市面上那些 RTSP 攻击工具很多都不太行，于是决定自己整一个。

微软发布紧急脚本应对BlackLotus UEFI攻击：可绕过安全启动、禁用BitLocker等防护，最高权限部署恶意软件，"不更新媒体将导致设备无法启动或恢复！"

**2024年勒索软件赎金支付额暴跌35%至8.1355亿美元，但攻击量暴增创纪录！** 财富50强公司被迫支付7500万美元天价赎金，企业集体反击：“宁毁声誉也不妥协！” 执法重拳粉碎LockBit，攻击者疯狂加码却难逃制裁。

既然网络有被攻击的风险，很多人就希望本地化部署DeepSeek，部署完成后就可以避免安全问题发生了吗?