更多全球网络安全资讯尽在邑安全一个名为 CrazyHunter 的复杂勒索软件组织已成为对组织的重大威胁,尤其是台湾关键基础设施领域的组织。自 2025 年初以来,这个新发现的威胁行为者一直在对医疗机...
2025年20种最易受攻击的联网设备
Forescout 在一份新报告中指出,路由器是企业网络中风险最高的设备,包含最多的关键漏洞。根据该公司的《2025年最具风险的联网设备》报告,设备风险比上一年增加了15%,其中路由器占受最危险漏洞困...
【翻译】白盒渗透测试:如何调试 JavaScript 漏洞
这是对在 Docker 容器中运行的 JavaScript Web 应用程序执行白盒渗透测试的指南。在测试易受原型污染的 Web 应用程序时,我们将演示如何在 Visual Studio Code 中...
安全行动期间的物联网利用
在两次独立的安全活动中,发现了两个嵌入式设备中的命令注入漏洞。发现每个漏洞都有其独特的挑战。一个是经典的命令注入漏洞,另一个详细介绍了“盲”命令注入漏洞,这提供了两种在物联网系统中常见的漏洞类型的有趣...
已 root 的智能手机比普通手机更易受攻击 3,000 倍
攻击场景变得更短,但结果却更具破坏性。Zimperium 分析师 发布 一项新研究警告称,使用已 root 权限的移动设备将大大增加安全风险。尽管此类设备的数量总体下降,但它们的 脆弱性 比例仍然非常...
GCPGoat:极其脆弱的 GCP 基础设施
入侵组织的云基础设施就像是攻击者的金矿。有时,一个简单的配置错误或 Web 应用程序中的漏洞,就足以让攻击者入侵整个基础设施。由于云相对较新,许多开发人员并未充分意识到威胁形势,最终部署了一个易受攻击...
XXE漏洞各种骚姿势
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
XXE漏洞利用完全指南
前言 XML 外部实体(XXE)漏洞是现代网络应用程序中最常被忽视但影响最大的漏洞之一。尽管它们似乎变得更难检测和利用,但其影响仍然严重,往往允许攻击者读取内部文件、访问内部网络,并在严...
警惕 Apache Camel 漏洞 攻击者借此能注入任意标头
Apache Camel 中近期披露的一个安全漏洞(编号为 CVE - 2025 - 27636),已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头,进...
针对 Ivanti Connect Secure RCE 漏洞 (CVE-2025-0282) 发布 PoC
点击上方蓝字关注我们吧~已在 Ivanti Connect Secure 中发现一个严重的安全漏洞,编号为 CVE-2025-0282。此漏洞允许未经身份验证的远程攻击者执行任意代码。截至 2025 ...
BYOVD 更上一层楼。使用 Windows 符号链接进行盲 EDR
解读:这篇文章介绍了一种利用自带易受攻击的驱动程序(BYOVD)技术的新方法,通过结合使用Windows符号链接,可以利用更多的驱动程序来进行系统攻击。文章详细探讨了如何通过文件写入功能和符号链接来绕...
思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞
Cisco 发布了更新,以解决身份服务引擎 (ISE) 的两个关键安全漏洞,这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令并提升权限。漏洞如下:CVE-2025-20124(CVSS 评分:...