Breaking Oracle’s Identity Manager: Pre-Auth RCE (CVE-2025-61757) 不安全 7 months 1 week ago The cybersecurity landscape is constantly evolving, and staying informed about the lat
Semgrep与AI:智能代码审计规则开发实战(二) 不安全 7 months 1 week ago 实战篇:用AI为Java代码编写Semgrep规则 - 硬编码密码与SQL注入检测一、环境准备与AI工具选择前言在上一篇中,我们探讨了Semgrep与AI结合的理论基础。现在,让我们进入实战环节,亲身
【已复现】Fortinet FortiWeb 命令注入漏洞(CVE-2025-58034)安全风险通告 不安全 7 months 1 week ago 环境异常 当前环境异常,完成验证后即可继续访问。 去验证
【已复现】Fortinet FortiWeb 命令注入漏洞(CVE-2025-58034)安全风险通告 奇安信CERT 7 months 1 week ago 致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。
From DPAPI to Chrome - A Journey to Entra ID Takeover 先知技术社区 7 months 1 week ago 在本文中,我们将深入探索 DPAPI 的概念和工作原理,解析它如何保护浏览器中的密码和 Cookie,并通过详细的步骤演示攻击者如何在建立立足点后,通过离线提取 MasterKey、破解 Chrome 最新的 App Bound 加密保护,最终成功解密 Cookie 并接管云服务会话的完整攻击链路。
谷歌宣布美国大学生1年AI Pro订阅再延长1年 不过需要通过在读身份验证 不安全 7 months 1 week ago #人工智能 谷歌宣布美国大学生 1 年 AI Pro 订阅再延长 1 年,如果已经通过学生资料认证那最长能用到 2027 年 5 月。最初谷歌只需要验证教育邮箱,不过后来谷歌要求用户补
Reminder: Bitcoin "Mixing" is no longer a thing. Only use Monero. 不安全 7 months 1 week ago The dark web is a mysterious and often misunderstood part of the internet. Here are so
BadThink:针对大型语言模型思维链推理的触发式过度思考攻击 Seebug Paper 7 months 1 week ago 作者:Shuaitong Liu1 Renjue Li, Lijia Yu, Lijun Zhang, Zhiming Liu, Gaojie Jin 译者:知道创宇404实验室翻译组 原文链接:https://arxiv.org/html/2511.10714v1 摘要 近年来,思维链(Chain-of-Thought, CoT)提示技术的进步极大地提升了大型语言模型(Large Lang...
小米警告称明年智能手机价格可能会继续上涨 主要原因包括内存价格飙升 不安全 7 months 1 week ago #行业资讯 小米警告称明年智能手机零售价格可能会继续上涨,主要原因就包括内存芯片的价格飙升。在财报电话会议中小米卢伟冰称预计明年压力比今年大得多,消费者可能会看到产品零售价格的大幅度上
无 gadgets 也能翻盘:ret2gets 能否成为核武器? Seebug Paper 7 months 1 week ago 作者:CuB3y0nd 原文链接:https://www.cubeyond.net/posts/pwn-notes/ret2gets/ 前言 现代应用程序普遍使用高版本 glibc,常见为 glibc >= 2.34。但是从 2.34 开始,glibc 移除了 __libc_csu_init 函数,导致我们很难找到程序自身携带的可以用来控制参数的 gadgets 。而 ret2gets...
Black2025-JDD Hessian反序列化链 先知技术社区 7 months 1 week ago 发现并利用ServerManagerImpl中通过getter触发命令执行的原生sink点,拓展多种反序列化利用链。
错过了 2021?现在入坑 F1 赛事也不晚 不安全 7 months 1 week ago Matrix 首页推荐 Matrix 是少数派的写作社区,我们主张分享真实的产品体验,有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章,展示来自用户的最真实的体验和观点。 文章代表
巴西石油巨头 90GB 敏感地震和勘探数据被俄系黑客窃取 HackerNews 7 months 1 week ago HackerNews 编译,转载请注明出处: 与俄罗斯有关联的Everest勒索软件组织宣称,已从巴西国家石油公司(Petrobras)窃取90GB敏感地震和勘探数据,并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称,事件涉及第三方服务商,其内部系统未受影响。 Everest组织在暗网泄密站点发布声明,给公司设下六天期限要求联系,否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示,其系统未发现未授权访问记录,并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明,此次入侵事件与某勘探服务提供商相关,属于独立事件,不影响公司运营、客户及员工。 根据攻击者公布的信息,被盗数据包含: 原始地震导航数据(含船舶坐标) 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称,这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是,Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认:”该钻井作业已完成,含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出:”目前无迹象表明攻击者具有实时数据访问权限,因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉,暴露的导航数据和报告可能揭示船舶定位与使用设备,削弱公司竞争优势。” Everest组织自2021年7月开始活跃,今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团;此前最严重的攻击导致欧洲多国机场值机系统瘫痪;9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司(但银行予以否认);7月针对邮件营销平台Mailchimp;5月袭击可口可乐中东分部并泄露近千名员工数据。 消息来源:cybernews;本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文 hackernews