引言两年前，在我使用家中网络远程工作时，发生了一件非常奇怪的事情。当时我正在利用一个需要外部 HTTP 服务器来传出文件的盲 XXE 漏洞，所以我在 AWS 上开了一台服务器，运行了一个简单的 Python Web 服务器来接收来自受害服务器的流量：python3 -m http.server 8000 Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0

俄罗斯黑客利用微软 OAuth 进行钓鱼社工<img src="https://www.volexity.com/wp-content/uploads/2025/04/Volexity-Blog-Phishing-for-Codes-Russian-Threat-Actors-Target-Microsoft-365-OAuth-Workflows.png" width=

冒充 Telegram 机器人库的恶意 npm 包在 Linux 开发者机器上安装 SSH 后门并窃取数据。<img src="https://cdn.sanity.io/images/cgdhsj6q/production/de68db08e6a951c495fe204ace68871186ad3e0b-1024x1024.webp?w=1600&amp;fit=max&

<img src="https://research.checkpoint.com/wp-content/uploads/2025/04/wineloader_banner.png" width="1534" id="PiL9S" class="ne-image">APT29针对欧洲外交官的钓鱼攻击活动再度

警惕！虚假的 PDFCandy 文件转换器网站传播恶意软件CloudSEK 揭露了一场精心策划的恶意软件攻击行动，攻击者伪装成 PDFCandy.com 网站，以传播信息窃取程序 ArechClient2。本文将介绍该骗局的运作方式以及如何保护自己。CloudSEK 的网络安全研究人员发现，这项攻击活动正借助 PDFCandy.com 的广泛知名度实施，该在线文件转换工具目前拥有超过 250 万用

在寻找安全问题时，许多研究者往往会把注意力集中在未公开的资产和隐蔽的端点上，而忽略了一些明显却同样关键的功能点。如果你将目标当作是第一次接受安全测试的系统，并对每一个环节进行彻底检查，我相信你一定会发现一些新的问题 —— 尤其是当你测试的代码已经持续开发了一段时间。这是一个高危漏洞的故事，它影响的页面可能是 PayPal 被访问最多的页面之一：登录表单。初步发现在分析 PayPal 的主身份验证流

你听说过 Google 的 Issue Tracker 吗？大概没有，除非你是 Google 的员工，或者是最近在使用 Google 工具时提交过漏洞的开发者。我之前也从未听说过，直到有一天我发现我提交的漏洞报告，除了收到常规的邮件通知之外，还会在这个平台上新建一个工单线程来处理。于是，我立刻开始尝试去攻破它。<img src="https://miro.medium.com/v2

依赖混淆攻击（Dependency Confusion Attack）<img src="https://nc0.cdn.zkaq.cn/md/24342/20250414/94d3a17c-8214-409a-9163-dda3e2b1201b.png" width="782.5" id="u249f69d1" class=&qu

AI 幻觉生成的代码依赖，正演变为新的供应链安全风险<img src="https://www.bleepstatic.com/content/hl-images/2022/05/12/ai-cybersecurity-hacker.jpg" width="1600" id="dwTM3" class="ne-image&

引言2024年6月11日，我们发现了起亚汽车中的一组漏洞，允许仅通过车牌远程控制关键功能。这些攻击可以在大约30秒内远程执行，适用于任何配备硬件的车辆，无论其是否拥有有效的起亚Connect订阅。此外，攻击者还可以悄悄获取个人信息，包括受害人的姓名、电话号码、电子邮件地址和家庭地址。这使得攻击者能够在受害人不知情的情况下，将自己添加为受害人车辆上的隐形第二用户。YouTube演示视频：https: