赠书福利 | 《云攻击向量：构建有效的网络防御策略》免费送 文章探讨了云安全对企业的重要性及面临的挑战，包括数据泄露、勒索软件攻击等问题，并推荐了《云攻击向量》一书，详细解析防御策略与合规措施。... 2025-10-24 05:40:59 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 漏洞 网络 数据

思科开源CodeGuard，为AI编程筑起“安全护栏” 主站 分类 云安全 AI安全 开发安全... 2025-10-24 02:36:55 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 codeguard 编程 漏洞

SharkStealer采用EtherHiding模式构建隐蔽C2通信信道 研究人员发现一款基于Golang的新型信息窃取木马SharkStealer，其利用区块链技术建立隐蔽的命令与控制（C2）通信信道。该恶意软件采用名为EtherHiding的技术，在BNB智能链测试网上存储关键组件，并通过智能合约返回加密数据以实现抗审查和隐蔽通信。... 2025-10-23 22:57:49 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 c2 加密

智能头盔技术：对抗音频深度伪造的未来方向 语音克隆技术日益逼真，研究团队提出结合语音与下颌运动的双重验证方法。通过头盔式设备捕捉口腔动作数据，并利用机器学习模型分析识别身份。该系统适用于需佩戴装备的场景，如航空和国防，并能有效抵御视频仿冒攻击。尽管仍需解决设备体积和传感器敏感性等问题，但为防范合成语音攻击提供了创新方案。... 2025-10-23 21:30:2 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 数据 口腔 模型

FreeBuf早报 | Jira路径遍历漏洞可致任意文件写入；GitLab多安全漏洞可触发拒绝服务 文章总结了近期全球网络安全事件及技术动态：Jira修复高危路径遍历漏洞；GitLab发布补丁修复DoS及访问控制缺陷；Kali工具包升级提升中继攻击能力；Oracle VM曝高危虚拟环境控制漏洞；捷豹路虎遭受网络攻击致英国损失25亿美元；Rust库及AI Agent平台存在远程代码执行风险；OAuth应用被滥用作后门；云技术攻击礼品卡系统；TARmageddon漏洞凸显逻辑错误风险。... 2025-10-23 10:11:13 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 攻击 漏洞 攻击者 安全 高危

Spring内存马新手实战指南- Controller篇 文章介绍了Spring框架及其模块Spring Boot的基本概念，探讨了Spring内存马的工作原理及其检测方法，并详细分析了Controller的概念与实现机制。通过创建一个简单的Spring Boot项目并进行调试，展示了Controller的注册与请求处理流程。... 2025-10-23 09:55:23 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 映射 注解 getmapping 机制

通过AI助手进行的Shadow Escape零点击攻击威胁数万亿条数据安全 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读这篇文章，抓住主要信息。 文章主要讲的是AI安全方面的一个新攻击手法，叫Shadow Escape。这种攻击通过AI助手窃取隐私数据，而且不需要用户点击任何链接，就能获取社保号码、医疗记录等敏感信息。攻击利用的是模型上下文协议（MCP），这个协议连接了大语言模型和企业内部系统。 攻击方式是通过看似无害的文件，比如入职手册或PDF，里面隐藏指令。当员工上传这些文件到AI助手时，指令就会触发数据窃取。研究人员警告说，已经有大量数据泄露到暗网。 传统安全工具失效的原因是攻击发生在内部网络，数据传输伪装成正常业务流量。文章还建议企业立即审计系统。 总结的时候要涵盖这些要点：新型攻击手法、AI助手窃取数据、MCP协议、文件隐藏指令、传统防御失效、企业需审计。控制在100字以内。 所以最终的总结应该是简洁明了的，涵盖关键点。 </think> AI安全研究揭示新型攻击手法"Shadow Escape"，通过AI助手窃取隐私数据无需用户交互。利用模型上下文协议（MCP）连接大语言模型与企业系统，隐藏指令文件上传后操控AI静默收集敏感信息。传统安全工具失效，数据外传伪装为常规流量。研究人员警告数万亿条记录或已泄露，呼吁企业立即审计AI系统风险。... 2025-10-23 09:28:23 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 攻击 mcp shadow

自主AI攻击与网络安全的未来；CISO的十大职业陷阱 | 2025网安行业优质播客精选集⑪ 文章探讨了AI对网络安全的影响、CISO职业挑战及安全架构重构等问题，分析了自主AI攻击与防御的新趋势、CISO任期困境及职业陷阱，并提出AI赋能零信任网络访问的应用前景。... 2025-10-23 08:48:57 | 阅读: 10 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 ciso 网络 信息

黑客利用三星Galaxy S25的0Day漏洞远程操控摄像头并追踪定位 Interrupt Labs的研究员在Pwn2Own Ireland 2025黑客大赛上发现三星Galaxy S25的0Day漏洞，成功实现远程控制设备并窃取数据。该漏洞利用输入验证缺陷绕过安全机制，研究人员获得奖金和积分。赛事共披露73个独特漏洞，总奖金达200万美元。专家建议用户启用自动更新以应对潜在威胁。... 2025-10-23 07:28:26 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 披露 s25 修复

SpaceX 禁用缅甸诈骗中心2500余台Starlink终端设备 SpaceX禁用2500多台与缅甸诈骗中心关联的Starlink终端，以防止技术滥用。此举彰显了公司合规与技术监管的决心，并与国际社会打击诈骗网络的努力相呼应。专家认为这是负责任的科技创新典范。... 2025-10-23 06:58:44 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 spacex starlink 犯罪

研究人员揭露大规模YouTube恶意软件分发网络 Check Point发现名为“YouTube幽灵网络”的大规模恶意软件分发网络，通过3000多个频道发布游戏外挂等诱饵视频，传播恶意软件或钓鱼页面。该网络采用分工模式运作，并具备高度韧性和低识别度特征。... 2025-10-23 06:27:47 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 账号 youtube 幽灵

DudeSuite进阶版：从漏洞验证到抓包重放，让渗透测试更顺畅 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。首先，我需要通读整篇文章，抓住主要信息。 文章主要介绍了一个叫做DudeSuite的安全工具，它有很多功能，比如漏洞验证、端口扫描、流量劫持等等。付费版增加了更高级的功能，比如提前获取漏洞POC、无限制批量验证和离线授权。这些功能对安全工程师来说非常有用。 接下来，我需要把这些关键点浓缩到100字以内。要突出DudeSuite的特点和付费版的优势。同时，语言要简洁明了，直接描述内容。 可能的结构是：先介绍DudeSuite是什么，然后提到它的主要功能和付费版带来的提升。这样既全面又简洁。 最后检查一下字数，确保不超过限制，并且表达清晰。 </think> DudeSuite是一款轻量一体化渗透测试工具，集漏洞验证、端口扫描、流量劫持等功能于一体，并内置多种实用插件。付费进阶版提供POC超前获取、无限制批量验证及离线授权等专业功能，满足安全工程师高效工作需求。... 2025-10-23 06:7:53 | 阅读: 9 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 爆破 dudesuite 安全 重放

SquareX揭露新型AI侧边栏欺骗攻击：恶意扩展程序可伪装主流AI浏览器界面 SquareX发现一种针对AI浏览器的新型攻击手段——"AI侧边栏欺骗"。攻击者利用恶意扩展伪装成受信任的AI侧边栏界面，诱使用户执行危险指令。研究显示此类攻击影响广泛且隐蔽性高，需加强动态分析和防护机制以应对威胁。... 2025-10-23 05:0:9 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 侧边 浏览器 指令

ICTFICIAL OY | 提高蜜罐性能的网络欺骗技术综合调查 本文综述了网络欺骗技术在提升蜜罐性能中的应用，围绕蜜罐分类体系、有效性评估方法及单蜜罐欺骗技术展开研究。通过构建多维度分类体系与评估框架，并结合实验验证与数学建模方法，探讨如何优化蜜罐选型与部署策略。... 2025-10-23 04:30:0 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 蜜罐 攻击 攻击者 安全 网络

从Gartner2025年北美安全峰会看安全运营的发展趋势 文章总结了2025年网络安全技术趋势和安全运营展望，包括LLM防火墙、xSPM和安全平台等关键技术，以及生态型平台、混合式团队、暴露管理和AI增强的安全运营模式，并提出了未来安全运营的发展方向。... 2025-10-23 04:28:47 | 阅读: 10 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 自动化 数据 genai 威胁

独家：NSA漏洞承包商网络武器库泄露 美国国家安全局（NSA）的主要漏洞承包商之一涉嫌将内部开发的零日漏洞和武器化工具泄露给俄罗斯买方。影子经纪人事件再次浮现，涉及大量NSA工具和数据。... 2025-10-23 04:27:47 | 阅读: 24 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 数据 美国 brokers

越权漏洞实战挖掘与总结：10个案例成为越权高手 文章探讨了水平和垂直越权漏洞及其测试方法。水平越权指同一权限级别用户间数据操控，案例包括修改帖子、地址等；垂直越权指低权限用户访问高权限接口或功能。通过抓包、篡改ID、时间戳生成ID等方式测试水平越权；提取前端接口、猜测参数等方式挖掘垂直越权。总结指出水平越权常见于用户绑定数据，垂直越权有三种场景：GET型接口直接测试、前端触发无需构造参数、猜测参数构造请求。... 2025-10-23 02:36:29 | 阅读: 9 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 账号 遍历 数据 信息 1122

Gartner预测将重塑2026年的关键技术趋势 好，我现在要帮用户总结这篇文章的内容。用户的要求是用中文总结，控制在100个字以内，不需要特定的开头，直接描述文章内容。 首先，我快速浏览文章，发现主要讲的是Gartner关于2026年关键技术的展望。里面提到了很多技术点，比如AI安全平台、主动防御型网络安全、机密计算、实体AI、数字溯源、AI超级计算平台、多Agent系统、领域专用语言模型（DSLM）、AI原生开发平台和地缘数据回归。 接下来，我需要把这些技术点提炼出来，找出它们的核心内容。Gartner预测这些技术将在未来几年对企业和IT领导者产生重要影响，并且提到了一些具体的预测数据，比如到2028年超过50%的企业将采用AI安全平台等。 然后，我要把这些信息浓缩成一句话，确保不超过100个字。考虑到用户可能需要一个简洁明了的总结，我应该突出Gartner的报告以及这些关键技术对企业的影响。 最后，检查一下有没有遗漏的重要信息，并确保语言流畅自然。 </think> Gartner预测2026年关键技术创新包括AI安全平台、主动防御网络安全、机密计算、实体AI、数字溯源、AI超级计算平台等技术将重塑企业竞争与运营模式。... 2025-10-22 20:0:26 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 风险 模型 地缘

Jira路径遍历漏洞（CVE-2025-22167）可导致服务器/数据中心任意文件写入 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。好的，首先我得仔细阅读这篇文章，了解主要内容。 文章主要讲的是Atlassian公司修复了一个高危漏洞，CVE-2025-22167，属于路径遍历漏洞，CVSS评分8.7分。这个漏洞影响了Jira Software和Jira Service Management的数据中心和服务器版。攻击者可以利用这个漏洞进行任意文件写入，可能导致数据损坏或远程代码执行。 接下来，文章详细说明了漏洞的影响范围，包括受影响的版本和修复版本。Atlassian建议用户尽快升级到修复版本以避免风险。 现在我需要把这些信息浓缩到100字以内。首先确定关键点：Atlassian修复了高危漏洞CVE-2025-22167，影响Jira Software和Jira Service Management的数据中心和服务器版。该漏洞允许攻击者进行任意文件写入，可能导致严重后果。建议用户升级到指定版本。 这样组织语言的话，应该可以控制在100字以内，并且信息完整。 </think> Atlassian修复了Jira Software和Jira Service Management的高危路径遍历漏洞（CVE-2025-22167），CVSS评分8.7分。该漏洞允许攻击者在系统上执行任意文件写入操作，可能引发数据损坏或远程代码执行。受影响版本包括Jira Software 9.12.0–11.0.0和Jira Service Management 5.12.0–10.3.0。建议用户立即升级至已修复版本以避免风险。... 2025-10-22 17:53:35 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 jira 漏洞 数据 atlassian

Rust库曝高危漏洞（CVE-2025-62518）可导致远程代码执行 Rust编程语言中的_async-tar_库被发现存在严重漏洞（CVE-2025-62518），可能导致远程代码执行。该漏洞影响多个广泛使用的项目和分支版本，建议开发者迁移到已修复的活跃分支，并进行代码审计和隔离处理TAR文件以降低风险。... 2025-10-22 15:57:0 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 tokio edera