unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
Craft CMS零日漏洞CVE-2025-32432现可通过公开Metasploit模块利用
安全研究人员发现Craft CMS和Yii框架中的两个零日漏洞被用于入侵服务器并窃取敏感数据。攻击者通过结合CVE-2025-32432(CVSS 10分)和CVE-2024-58136漏洞发送恶意请求和JSON载荷,在受感染服务器上执行PHP代码并安装文件管理器以获取完全控制权。目前两个漏洞均已修复,管理员需采取紧急措施应对潜在威胁。...
2025-4-27 16:55:46 | 阅读: 17 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻击
craft
漏洞
攻击者
Linux安全盲区曝光:io_uring机制可绕过主流检测工具
文章揭示Linux运行时安全工具的重大缺陷:io_uring机制使rootkit可绕过传统监控。主流工具如Falco、Tetragon和Microsoft Defender均无法检测基于该机制的攻击。研究团队开发Curing rootkit验证威胁,并提出改进策略以应对内核特性变化带来的安全挑战。...
2025-4-27 16:45:39 | 阅读: 6 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
监控
armo
lsm
机制
CVE-2025-23016:FastCGI堆溢出高危漏洞威胁嵌入式设备,PoC已公开
FastCGI库被发现高危堆溢出漏洞(CVE-2025-23016),CVSS评分9.4分。该漏洞源于参数长度处理不当,在32位系统上可能导致内存分配错误,引发堆溢出问题。攻击者可利用此漏洞在受影响设备上执行任意代码。建议用户升级至FastCGI 2.4.5或更高版本修复此缺陷。...
2025-4-27 16:26:27 | 阅读: 3 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
fastcgi
嵌入
overflow
打靶日记--mhz_c1f
文章描述了一次渗透测试过程:通过端口扫描发现目标网站仅开放22和80端口;利用dirsearch和dirb进行目录爆破后发现notes.txt文件;提取其中的凭据成功登录SSH并获取初始立足点;随后通过隐写技术提取额外凭据并成功提权。...
2025-4-27 10:55:32 | 阅读: 23 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
信息
ssh
端口
remb
FreeBuf早报 | 新型越狱攻击可突破主流AI服务防护;朝鲜APT组织针对韩国发起攻击
文章综述了全球网络安全事件及技术动态,涵盖AI服务越狱攻击、朝鲜Lazarus APT组织供应链攻击、网络钓鱼工具包Darcula引入AI技术、Commvault严重漏洞CVE-2025-34028等议题,并介绍了RSAC 2025大会亮点及XDR技术在渗透测试中的应用。...
2025-4-27 06:0:44 | 阅读: 12 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
漏洞
安全
攻击
网络
朝鲜
APISandbox | 4ASystem: 4A认证系统下的API平行越权
文章讨论了4A认证系统下的API平行越权漏洞,攻击者通过弱口令爆破进入Web1后,利用未验证新密码的API调用越权更改其他应用的密码。...
2025-4-27 03:31:33 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
web1
4a
username
新密码
【前瞻技术布局】打破"沙漏“现象→提高生成式搜索推荐的上限
文章探讨了生成式搜索/推荐中基于残差量化的语义标识符(RQ-SID)面临的“沙漏”现象,即中间层码本令牌过于集中,导致路径稀疏和长尾分布。研究分析了该现象的成因,并提出移除第二层或自适应调整令牌分布的解决方案,实验结果表明这些方法有效提升了模型性能。...
2025-4-27 03:20:42 | 阅读: 23 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
长尾
沙漏
模型
第二层
rq
网络安全周报:MITRE ATT&CK v17.0发布,Erlang/OTP SSH漏洞验证代码公开
主站 分类 云安全 AI安全 开发安全...
2025-4-27 00:0:25 | 阅读: 27 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
攻击
网络
数据
[Meachines] [Medium] Seal Nginx-tomcat-Misconfig+ln+TRP00F+ansible-playbook+SKBD
文章描述了一次针对IP地址10.10.10.250的渗透测试过程,包括扫描发现开放端口(22、443、8080),识别服务版本(OpenSSH、Nginx、HTTP代理),并通过漏洞利用获取系统权限的过程。...
2025-4-26 15:35:43 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
sf
seal
8859
x20text
node0
Nacos漏洞汇总复现
文章记录了Nacos的多个安全漏洞复现过程,包括默认口令访问、未授权访问用户信息、User-Agent权限绕过、JWT密钥绕过鉴权、Derby数据库未授权访问等高危漏洞,并提供了详细的POC代码和复现步骤。...
2025-4-26 14:56:47 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
nacos
漏洞
8848
端口
信息
DragonForce与Anubis推出新型合作模式,勒索软件“加盟制”威胁升级
勒索软件在2025年展现出强大的适应能力。两个主要组织——龙之力量和阿努比斯——通过创新的合作模式扩大影响力。龙之力量转向分布式模式,允许合作伙伴创建定制品牌;阿努比斯则提供三种不同的勒索选项,并采用多样化利润分成模式。这些变化可能导致更复杂和持久的攻击活动。...
2025-4-26 05:31:23 | 阅读: 16 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
勒索
受害者
受害
比斯
新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌
本周发布的综合威胁报告显示,自2024年以来,“电力寄生虫”网络钓鱼活动持续针对全球能源巨头和知名品牌展开攻击。该活动通过投资骗局和虚假招聘信息冒用知名企业名称,并建立超150个活跃域名用于冒充合法企业。攻击者主要针对亚洲国家个人用户,并通过多渠道接触受害者。采用“广撒网”策略并滥用多个品牌名称以扩大受害者接触面。...
2025-4-26 04:54:50 | 阅读: 18 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻击
攻击者
受害
招聘
XDR在渗透测试中的应用:利用高级检测技术发现漏洞
扩展检测与响应(XDR)整合多层安全数据,通过跨域可见性和高级分析提升威胁检测能力。应用于渗透测试中,XDR可识别传统方法难以发现的漏洞,并验证安全控制的有效性。...
2025-4-26 02:48:40 | 阅读: 16 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
渗透
攻击
漏洞
威胁
虚假安全补丁攻击WooCommerce管理员以劫持网站
大规模钓鱼攻击针对WooCommerce用户,伪造安全警报诱骗下载恶意补丁。该补丁创建隐藏管理员账户并植入后门程序。攻击利用同形异义字技术仿冒官网,并通过混淆载荷实现持久性访问。研究人员建议检查特定指标以识别潜在威胁。...
2025-4-26 02:9:19 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
woocommerce
攻击
patchstack
漏洞
2025年CISO必须应对的五大网络安全风险
随着2025年的到来,首席信息安全官(CISO)需应对五大网络安全风险:影子AI与非结构化数据漏洞、人为错误与社会工程、勒索软件演变、供应链漏洞及高级网络欺诈。CISO角色已从技术守护者转变为战略领导者,需平衡安全需求与业务目标,并具备跨职能治理与组织韧性能力。...
2025-4-25 22:51:35 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
网络
ciso
风险
攻击
PoC攻击暴露Linux安全工具缺陷,以色列厂商称过度依赖eBPF埋隐患
以色列云安全公司Armo开发的Curing rootkit利用Linux内核接口io_uring成功绕过三款主流Linux安全工具(Falco、Tetragon、微软Defender),揭示基于eBPF代理技术的安全产品局限性。厂商回应不一,开源项目积极改进,微软未回应。...
2025-4-25 13:35:30 | 阅读: 3 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
armo
curing
绕过
tetragon
Commvault 严重漏洞可导致系统完全沦陷
Commvault Command Center发现严重漏洞CVE-2025-34028(CVSS 9.0),允许攻击者远程执行代码并完全控制系统。该漏洞由watchTowr Labs的研究员发现,并已发布补丁修复。专家建议企业立即修补以防范勒索软件和数据丢失威胁。...
2025-4-25 12:33:37 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
攻击
commvault
攻击者
新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护
研究人员发现两项越狱技术可绕过主流生成式AI服务的安全防护,如ChatGPT等。这些技术利用AI设计特性生成非法内容。厂商正在调查和更新防御机制以应对系统性安全风险。...
2025-4-25 07:27:51 | 阅读: 1 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻击
越狱
攻击者
inception
FreeBuf早报 | 2025年第一季度159个CVE漏洞遭利用;解读2024年网络攻击趋势
全球网安形势严峻:多起重大漏洞被迅速利用引发数据泄露;金融业成主要目标;Linux Rootkit绕过安全检测;钓鱼平台引入AI降低犯罪门槛;微软悬赏征集AI系统漏洞;医疗行业数据泄露频发;供应链攻击威胁加剧;零信任方案助力防御;朝鲜黑客活跃;OAuth认证遭滥用。...
2025-4-25 07:10:39 | 阅读: 4 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
漏洞
安全
攻击
网络
钓鱼
美国防部正式授权名为“软件快速通道”的新软件审批流程
美国国防部推出"软件快速通道"(SWIFT)新流程,取代传统操作授权和风险管理框架,采用AI工具缩短审批时间,并要求供应商提供SBOM和第三方认证。...
2025-4-25 05:10:10 | 阅读: 20 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
网络
阿灵顿
凯蒂
Previous
12
13
14
15
16
17
18
19
Next