Owasp AntiSamy：守护 Web 应用免受 XSS 攻击的利器 本文介绍了OWASP AntiSamy作为防御XSS攻击的开源工具，通过规则驱动和语法解析实现富文本净化。其核心价值在于过滤恶意代码并保留合法内容，适用于社交平台、CMS等场景。文章详细讲解了其工作原理、集成方法及最佳实践，并展望了未来发展方向。... 2025-9-7 14:24:2 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com antisamy 净化 安全 攻击

EP-SPY 網路追蹤規避實驗：山脈通聯測試 文章介绍了一个基于GI6E编码的无线电通信工具ep-spy，用于隐私保护。详细说明了无线电和计算机的配置方法、信号发送与接收流程，并通过200米测试验证了传输成功率超过90%。还提供了使用建议和常见问题解决方案。... 2025-9-7 10:39:52 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 無線 音頻 無線電 設備

Java JNDI注入深度解析 本文介绍了Java命名和目录接口（JNDI）的基本概念及其功能。JNDI允许应用程序通过名称查找资源和其他程序对象，并支持多种服务如JDBC、LDAP和RMI等。文章详细解释了命名服务和目录服务的区别及用途，并提供了使用RMI和DNS的示例代码。此外，还讨论了动态协议切换及初始化上下文的过程。... 2025-9-6 16:41:3 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com jndi hashtable 远程

GhostAction攻击窃取GitHub项目中3325个机密凭证 2025年9月2日，GitHub上发生GhostAction供应链攻击事件。攻击者通过提交恶意工作流文件窃取3325个机密凭证，影响817个代码库和327名开发者。PyPI及时封禁项目防止滥用，GitGuardian团队已通知相关平台并公布入侵指标。这是迄今规模最大的GitHub工作流入侵事件。... 2025-9-6 04:17:39 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 github 入侵 pypi

百度网盘客户端YunDetectService服务 OpenSafeBox 远程命令执行漏洞 百度网盘Windows客户端存在远程命令执行漏洞，攻击者可通过构造恶意请求利用OpenSafeBox方法执行任意命令，导致系统被攻陷。该漏洞影响版本7.50.0.130及以下，并可通过诱导目标访问特定页面远程加载恶意XML文件实现攻击。建议用户升级至最新版本修复漏洞。... 2025-9-5 13:41:2 | 阅读: 8 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 opensafebox windows scriptlet

思爱普SAP S/4HANA爆高危漏洞，可致系统被完全控制 SAP S/4HANA软件存在高危命令注入漏洞（CVE-2025-42957，CVSS 9.9），攻击者可利用低权限账户完全控制系统，包括篡改数据库、创建超级用户等。该漏洞已被活跃利用，厂商已发布补丁，建议管理员立即修复以应对潜在威胁。... 2025-9-5 12:8:35 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 漏洞 攻击者 4hana

借助DeepSeek从漏洞挖掘的角度分析fastjson反序列化漏洞 本文研究了Fastjson反序列化漏洞的挖掘与利用过程。通过逆向思维从挖漏洞的角度还原反序列化链，并借助DeepSeek工具提高效率。文章详细分析了漏洞链的构造过程、环境搭建及调试步骤，并最终实现了通过恶意JSON字符串触发TemplatesImpl类的命令执行漏洞。... 2025-9-5 10:26:2 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com alibaba ctclass

Tenda AC20路由器缓冲区溢出漏洞分析 Tenda AC20路由器被发现存在缓冲区溢出漏洞，攻击者可通过构造恶意HTTP POST请求触发溢出，导致拒绝服务或远程代码执行。该漏洞已被正式收录为CVE-2025-8939。... 2025-9-5 08:53:6 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 tenda 缓冲区 固件 二进制

企业级防火墙iptables规则设计与优化实战：从入门到精通的完整指南 文章介绍了iptables在企业安全中的重要性及实战经验，涵盖核心架构解析、防火墙设计原则、性能优化技巧、真实案例分析及自动化运维方案。... 2025-9-5 08:46:44 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 数据 netfilter dport conntrack hashlimit

FreeBuf早报 | 美国悬赏千万美元通缉俄罗斯FSB官员；锐捷网络设备存在高危漏洞 全球网络安全事件频发，涉及国家攻击、企业漏洞、钓鱼活动及恶意软件等多重威胁，涵盖能源、云服务、AI等多个领域。... 2025-9-5 07:57:3 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 攻击 漏洞 安全 攻击者 模型

获取全球GeoJSON地理数据（到省市） 文章介绍了如何获取并转换全球地理数据为GeoJSON格式，用于地图可视化。通过从gadm.org下载GPKG格式的数据，并使用GDAL和GeoPandas工具将其转换为GeoJSON格式。文章还提供了简化数据的方法以减少文件大小。... 2025-9-5 07:29:48 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 geojson gpkg gdf

Appcms 安全漏洞审计：深度剖析与实战验证 文章分析了Appcms内容管理系统中的多个安全漏洞，包括任意文件包含、SSRF与文件读取、反射型XSS及模板注入等，并提供了漏洞利用步骤和防御建议。... 2025-9-5 06:39:44 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 php 审计 攻击 注入

FreeBuf周报 | 史上最大规模DDoS攻击；1.1.1.1 DNS服务误发TLS证书事件 本周FreeBuf周报涵盖DDoS攻击记录、证书泄露风险、AI工具滥用等安全事件及Linux提权漏洞等技术分析，凸显数字时代安全威胁升级与防御挑战。... 2025-9-5 05:12:13 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 攻击 漏洞 安全 攻击者 威胁

JWT可爆破——未验证签名导致越权&加密为None导致不验证签名越权漏洞 文章分享了JWT漏洞案例，包括可爆破和未验证签名导致的越权攻击。通过实战案例分析了JWT的利用方式，并介绍了如何使用工具和手法进行密钥爆破及绕过验证，帮助读者掌握相关技巧以实现高权限操作。... 2025-9-5 03:43:14 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 爆破 信息 漏洞

渗透测试 | 利用Windows系统配置错误进行提权 文章介绍了一个实验，目的是通过使用AccessChk工具检测系统配置信息，发现并利用弱注册表权限和弱服务权限成功提权。实验涉及的知识点包括注册表、弱权限、服务以及AccessChk工具的使用。实验原理解释了如何通过修改服务配置或注册表项来实现提权，并详细介绍了AccessChk工具的参数和功能。实验环境包括Windows Server 2008、Kali Linux等设备和软件工具。... 2025-9-5 02:58:14 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 windows 注册表 accesschk 二进制

Zabbix漏洞复现汇总 文章详细介绍了Zabbix监控系统中的多个安全漏洞，包括SQL注入、命令执行和认证绕过等，并提供了漏洞复现方法和相关工具脚本。同时强调了安全意识的重要性。... 2025-9-5 00:50:30 | 阅读: 27 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com hostid 漏洞 php 安全 sessionid

黑客利用AI平台窃取Microsoft 365凭证的钓鱼攻击活动 网络犯罪分子利用企业对人工智能平台的信任实施钓鱼攻击，通过冒充高管发送钓鱼邮件并结合社会工程学手段窃取Microsoft 365凭证。此事件凸显企业对AI工具使用的安全风险，并建议加强多因素认证、员工培训及高级威胁检测能力以应对威胁。... 2025-9-5 00:43:41 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 网络 simplified microsoft

数百万台冰箱、冰柜等冷藏设备或因控制器漏洞面临失控风险 Armis Labs披露Copeland E2/E3控制器存在Frostbyte10漏洞，影响零售、冷链物流、制药及商用建筑等领域。该漏洞可能导致温控失控、数据泄露及供应链中断风险。... 2025-9-4 23:16:46 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 安全 攻击 控制 攻击者

安全实验室揭露朝鲜黑客组织如何滥用威胁情报平台 朝鲜背景的黑客组织利用网络威胁情报（CTI）平台监控自身暴露情况并优化攻击行动。研究揭示了与Lazarus黑客集群相关的"传染性面试"行动组织如何利用公开CTI资源，并通过快速轮换基础设施和协同活动维持运营。该组织还采用ClickFix社交工程技术攻击求职者，诱导其下载恶意软件。... 2025-9-4 18:18:56 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 传染性 受害

CVE-2025-56752：远程攻击者可无需认证获取锐捷网络设备完全管理权限 锐捷网络Reyee RG-ES系列交换机存在高危漏洞（CVE-2025-56752），攻击者可无需认证修改设备密码并获得完全管理权限。受影响型号包括RG-ES和RG-NIS系列部分产品。建议用户立即升级至修补固件版本，并采取限制管理接口访问、启用多重认证等安全措施。... 2025-9-4 18:9:55 | 阅读: 19 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com rg 安全 漏洞 攻击 网络