FreeBuf热门电台精选集第十五期 主站 分类 云安全 AI安全 开发安全... 2025-12-1 07:51:49 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 电台 漏洞 抢先 网络

JAVA安全——基于tomcat的内存马学习——listener内存马 Listener 三个域对象ServletContextListenerHttpSessionListenerServletRequestListener很明显，ServletRequestListe... 2025-12-1 02:13:15 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com sre

人工智能(AI) 大模型安全风险与防御深度报告 主站 分类 云安全 AI安全 开发安全... 2025-12-1 01:57:12 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 攻击 安全 模型 风险 数据

如何开始微信小程序渗透？ 主站 分类 云安全 AI安全 开发安全... 2025-12-1 01:47:47 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 加密 数据 网络 wxapkg

启动过程遭入侵：高通骁龙8 Gen 3及5G调制解调器曝出高危漏洞（CVE-2025-47372） 高通发布重大安全更新，修复了其芯片组生态系统中的11个不同漏洞。其中最严重的是CVE-2025-47372（CVSS评分9.0），涉及设备启动过程中的缓冲区溢出问题。此外还修复了音频、摄像头和汽车系统的多个高危漏洞。补丁已共享给OEM厂商，建议用户联系设备制造商获取更新状态。... 2025-12-1 01:33:17 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 补丁 芯片组 高危

Burp Suite探测敏感信息路径 好，我现在要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解它的主要目的和内容。 文章标题是“终端安全”，看起来是关于网络安全的实验。实验目的是学习如何使用Burp Suite探测服务器的敏感信息路径。知识点提到了Burp Suite工具，实验原理解释了它是如何工作的，作为代理服务器拦截和分析流量。 接下来，实验设备包括两台Windows7主机，软件工具是Burp Suite社区版。实验拓扑图虽然没显示，但应该是一个攻击端和一个Web服务器的结构。实验思路是用Burp Suite进行路径爆破，步骤包括登录服务器、启动服务、配置Burp Suite等。 用户的要求是用中文总结，控制在100字以内，并且不需要特定的开头。所以我要提炼出关键点：使用Burp Suite探测敏感信息路径，介绍工具功能和实验步骤。 可能需要提到工具的作用、实验的目的和方法。确保语言简洁明了，不超过字数限制。 最后，检查一下是否涵盖了所有主要信息：工具名称、用途、实验目的、设备和步骤概述。 </think> 文章介绍了如何使用Burp Suite工具探测服务器敏感信息路径的实验方法，包括工具功能、实验原理及具体操作步骤。... 2025-12-1 01:18:28 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 burp 攻击 proxy

微软Outlook高危零点击远程代码执行漏洞PoC利用代码公开 微软Outlook被发现存在高危远程代码执行（RCE）漏洞（CVE-2024-21413），名为"MonikerLink"。该漏洞允许攻击者绕过Outlook的"受保护的视图"安全机制，通过特制链接窃取凭证或执行恶意代码。概念验证（PoC）代码已公开，增加了潜在风险。微软已发布修复补丁，并建议用户立即更新以防范攻击。... 2025-11-30 19:46:21 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 monikerlink 攻击者

JWT：渗透测试姿势全解析（含实战） 文章介绍了JWT（JSON Web Token）的结构与工作原理，并详细讲解了针对JWT的多种渗透攻击方法，包括空密码算法、密钥爆破、JWK注入、JKU注入及算法混淆等。文章还提供了具体的实验案例和工具使用说明，并强调了开发者在JWT校验中需要注意的安全问题及防范建议。... 2025-11-30 11:21:23 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 加密 靶场 注入 非对称

2025古剑山aesstudy详细解析 本文分析了一道密码学CTF题目，涉及AES CBC加密模式的安全性缺陷。题目分为工作量证明（PoW）和多轮AES CBC挑战两部分。通过暴力枚举解决PoW后，利用字节翻转攻击构造密文以满足特定明文条件。最终完成9轮挑战获取flag，并探讨了CBC模式的安全缺陷及防御措施。... 2025-11-30 07:43:7 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 攻击 c2 加密 m2 pow

Android APK逆向分析：多组件协同漏洞利用链详解 嗯，我需要总结一下这篇文章的内容，控制在一百个字以内。首先，文章主要讲的是一个Android逆向CTF题目，涉及APK反编译、组件安全、JNI交互和SO加固等多个技术点。作者通过分析APK的组件配置、权限保护机制、AIDL接口以及组件间通信漏洞，构建了一个完整的漏洞利用链，最终获取flag。 接下来，文章详细介绍了环境准备、APK结构分析、Java层代码分析、Native层分析以及完整的攻击链构建。其中提到了工具清单、样本基本信息、AndroidManifest.xml分析、WebActivity和MiscService的漏洞分析，还有CoreService与AIDL接口的安全问题。 然后是关于SO文件的加固检测和绕过方法，包括娜迦加固的特点和反调试机制。最后，文章还给出了安全防护建议，强调了组件安全、Intent处理和数据保护的重要性。 总的来说，这篇文章通过深入分析一个CTF题目，展示了Android应用的安全风险和逆向工程的技术细节。读者可以从中学习到如何识别和利用常见的Android安全漏洞，并在实际开发中采取相应的防护措施。 现在我需要将这些内容浓缩到一百个字以内。重点包括：Android逆向CTF题目、APK反编译、组件安全、JNI交互、SO加固、漏洞利用链构建以及安全防护建议。 </think> 文章深入分析了一道Android逆向CTF题目，涉及APK反编译、组件安全配置不当（如normal权限）、JNI交互及SO加固技术。通过发现CoreService的权限保护漏洞及MiscService的intent重定向问题，成功构建了利用链以获取flag，并提出了相应的安全防护建议。... 2025-11-30 07:39:43 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com coreservice wawawa 安全 aidl apk

CVE-2025-58360 GeoServer XXE漏洞综合安全研究报告 好的，我现在需要总结一下用户提供的关于CVE-2025-58360 GeoServer XXE漏洞的研究报告。首先，我得理解这个漏洞的基本信息，比如它是什么类型的漏洞，影响哪些版本的GeoServer。 然后，漏洞的执行摘要部分提到了攻击者可以通过提交恶意的SLD XML文档来读取服务器上的任意文件、执行SSRF攻击，甚至导致拒绝服务。这让我想到，这个漏洞对服务器的安全性威胁很大，特别是对于那些处理敏感数据的系统。 接下来是技术分析部分，这里详细说明了GeoServer如何处理SLD XML文档，并且XML解析器如何配置不当导致XXE漏洞。我需要理解DocumentBuilderFactory的配置问题以及如何修复这些配置。 影响范围部分提到了全球约有12,000个暴露的GeoServer实例，主要分布在北美、欧洲和亚太地区。这让我意识到这个漏洞的影响范围非常广泛，可能有很多组织受到影响。 修复建议部分提到了升级到安全版本、配置XML解析器的安全特性以及部署WAF规则等措施。我需要确保这些修复措施能够有效防止XXE攻击，并且在实际应用中容易实施。 最后，在总结部分，用户强调了立即升级和部署防护措施的重要性，并提供了详细的步骤和工具来帮助管理员检测和修复漏洞。 总的来说，这个报告非常详细地分析了CVE-2025-58360漏洞的技术细节、影响范围以及修复方法。作为总结者，我需要将这些信息浓缩成一个清晰、简洁的中文摘要，涵盖关键点如漏洞概述、影响、修复措施和防护建议。 </think> **CVE-2025-58360 GeoServer XXE 漏洞综合研究报告** **概述** CVE-2025-58360 是 GeoServer Web Map Service (WMS) 中的一个严重 XML 外部实体注入 (XXE) 漏洞。该漏洞允许未经认证的远程攻击者通过提交恶意的 Styled Layer Descriptor (SLD) XML 文档来读取服务器上的任意文件、执行服务器端请求伪造 (SSRF) 攻击或导致拒绝服务 (DoS)。 **受影响版本** - **GeoServer 2.26.x**: 版本 2.26.0 至 2.26.1 - **GeoServer 2.25.x**: 所有低于 2.25.6 的版本 - **GeoServer 2.24.x 及更早版本**: 已停止维护 **技术细节** 该漏洞源于 GeoServer 中 XML 解析器的安全配置不当。攻击者可通过构造恶意 SLD XML 文档触发 XXE 攻击。关键问题在于解析器未禁用外部实体引用和 DTD 加载功能。 **影响范围** 全球约 12,000 个 GeoServer 实例中约有 3,400 个易受攻击。主要分布在北美、欧洲和亚太地区，涉及政府、科研机构、商业企业等关键领域。 **修复建议** 1. **升级至安全版本**: - 推荐升级至 GeoServer 2.28.1 或更高版本。 - 其他安全版本包括 2.27.0 和 2.26.2 等。 2. **配置安全的 XML 解析器**: - 禁用外部实体引用和 DTD 加载功能。 - 示例代码： ```java DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); factory.setFeature("http://xml.org/sax/features/external-general-entities", false); ``` 3. **部署 Web 应用防火墙 (WAF)**: - 阻断包含 DOCTYPE 或 ENTITY 的恶意请求。 4. **网络隔离与监控**: - 防止未经授权的访问并实时监控异常流量。 **防护措施** - 定期扫描与审计以检测潜在攻击迹象。 - 提供安全培训以提升开发人员与管理员的安全意识。 **总结** CVE-2025-58360 是一个高危漏洞，需立即采取行动进行修复与防护。通过升级软件、配置安全解析器及部署防护措施，可有效降低风险并保护敏感数据免受攻击威胁。... 2025-11-30 07:33:9 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com geoserver wms 攻击 58360

《公安机关网络空间安全监督检查办法（征求意见稿）》公开征求意见的公告 好，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的文章内容。这篇文章看起来是关于公安部修订《公安机关互联网安全监督检查规定》的征求意见稿。 文章开头提到，为了规范公安机关对网络空间安全的监督检查工作，根据网络安全法、数据安全法、个人信息保护法等法律法规，公安部修订了2018年的规定，并起草了新的征求意见稿。接下来，文章详细说明了征求意见稿的内容，包括监督检查的对象、方式、内容、频次以及结果运用等。 用户的要求是用中文总结，不需要特定的开头，直接写描述即可，并且控制在100字以内。所以我要抓住关键点：修订的原因、主要变化和征求意见的方式。 首先，明确修订的原因是为了适应新的法律法规和实际情况。其次，监督检查的对象扩展到了网络运营者、数据处理者和个人信息处理者等。检查方式包括线上巡查和线下核查，减少了对企业的影响。此外，明确了检查内容和频次，并规定了结果的运用措施。 最后，征求意见的方式有三种：登录官网查看、发送电子邮件和寄送信函。意见反馈截止时间是2025年12月28日。 综合以上信息，我需要将这些要点浓缩到100字以内。确保涵盖修订的目的、主要内容和征求意见的方式。 </think> 公安部修订《公安机关互联网安全监督检查规定》，起草《公安机关网络空间安全监督检查办法（征求意见稿）》，规范网络空间安全监督检查工作。办法明确了监督检查对象、方式、内容及频次，并规定了结果运用和法律责任。公众可通过官网、邮件或信函提出意见，意见反馈截止时间为2025年12月28日。... 2025-11-30 04:6:25 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 公安 信息

【春秋云镜】CVE-2018-19518漏洞复现 文章介绍了一个利用PHP imap扩展中的imap_open函数进行远程代码执行（RCE）的漏洞。通过构造特定的SSH命令并结合Base64编码绕过WAF检测，攻击者可以注入恶意代码到目标服务器上。具体方法包括构造带有ProxyCommand参数的SSH命令，在目标服务器上写入后门文件以获取持久访问权限，并最终获取敏感信息如flag。... 2025-11-29 18:48:33 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com php 39628 wp 绕过

攻防 | .svn源代码泄露 主站 分类 云安全 AI安全 开发安全... 2025-11-28 05:30:48 | 阅读: 8 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 源代码 svnexploit 攻防 隐藏

CVE-2025-58034 FortiWeb 操作系统命令注入漏洞 CVE-2025-58034 FortiWeb 操作系统命令注入漏洞综合安全研究报告1. 执行摘要1.1 概述CVE-2025-58034 是一个影响 Fortinet FortiWeb Web 应用... 2025-11-28 01:21:20 | 阅读: 7 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com fortiweb 攻击 安全 漏洞 注入

CVE-2025-55680 Windows Cloud Files Mini Filter Driver 提权漏洞综合分析报告 CVE-2025-55680 Windows Cloud Files Mini Filter Driver 提权漏洞综合分析报告执行摘要漏洞概述CVE-2025-55680是Windows Cloud... 2025-11-28 01:19:46 | 阅读: 7 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com windows 补丁 55680 攻击 cloud

Super Flagio CTF逆向题技术解析 题目概述本题是一道基于cocos2d-x游戏引擎开发的Android逆向题目，附件为flagio.apk。这是一个模仿超级马里奥风格的游戏，玩家需要通过逆向分析找出正确的flag输入。第一步：解压AP... 2025-11-28 01:17:34 | 阅读: 7 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 加密 脚本 逆向 reg2 luajit

CTF逆向工程深度解析: engineTest - 逻辑门电路引擎的完整破解 前言本文将详细解析一道经典的CTF逆向工程题目engineTest。这道题目的设计非常精妙,它将传统的flag验证问题转化为一个基于逻辑门电路的计算引擎。通过本文的学习,读者将掌握以下技能:ELF二进... 2025-11-28 01:16:21 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com q2 q1 求解 descr coords

遗留Python包中的漏洞代码可通过域名劫持攻击Python包索引 主站 分类 云安全 AI安全 开发安全... 2025-11-27 14:19:43 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 脚本 漏洞 python distribute

威胁日报：AI恶意软件、语音机器人漏洞、加密货币洗钱与物联网攻击等20则安全动态 主站 分类 云安全 AI安全 开发安全... 2025-11-27 07:33:0 | 阅读: 8 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 攻击 数据 漏洞