FreeBuf互联网安全新媒体平台

GitHub供应链攻击波及Coinbase，218个仓库密钥泄露，CI/CD流程遭恶意篡改，威胁持续升级。

#XSS #Firewall-RCE #BOF #ROP #PLT

Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。

AI系统正成为生活的重要组成部分，但存在严重漏洞。红队测试通过模拟攻击，发现并修复这些弱点，确保AI安全可靠，防止偏见决策和数据泄露等严重后果。

反弹shell，是渗透测试中拿权限的主要手段之一，本篇文章介绍了linux与windows的操作系统中基本的反弹shell场景。

本篇文章将从最简单的搭建开始讲起，直到你学会如何在一台无代码环境上的服务器执行反弹Shell命令，从而上线服务器。

#uvicorn #LFI #C2 #RE #D-Link-V2文件同步 #C2任务表注入 #Pany-V2

利用工具 + Burp靶场 + CVE案例 + 攻击技巧 + 其他场景案例目录

黑客声称窃取600万条记录，威胁出售敏感数据，甲骨文否认云基础设施遭入侵，双方说法矛盾，潜在影响严重。

Cloudflare宣布已关闭所有HTTP连接，现在仅接受通过HTTPS加密的安全连接访问api.cloudflare.com。

微软可信签名服务遭滥用，恶意软件借机获得合法签名，威胁行为者利用短期证书绕过安全过滤器，加剧网络安全风险。

#D-link #后渗透 #Linux #安全加密身份验证 #文件同步工具 #持久化 #防火墙穿透 #双向同步

Operation Zero正在寻找流行通讯应用Telegram的漏洞，并为此悬赏高达400万美元。

Coinbase成为GitHub Actions供应链攻击的主要目标，攻击者通过恶意代码窃取CI/CD机密信息。

Tenable Research指出了与 DeepSeek R1 相关的潜在安全风险，可被操控用于生成恶意软件。

网络犯罪分子利用DeepSeek AI的知名度和公信力，创建仿冒域名、应用程序和通信渠道，实施精心设计的网络钓鱼和恶意软件攻击。

使用无问AI收集资产

Caido v0.47.0 发布，带来隐形代理、DNS 入口覆盖等新功能，宣称是 Burp Suite 的有力替代品，提升 Web 渗透测试效率，修复关键漏洞，进一步巩固其安全研究工具地位。立即下载体验！

“人肉开盒”再调查：网络灰产隐秘升级，记者买到自己的秘密；ChatGPT SSRF漏洞迅速成为热门攻击向量（含PoC视频）。

Veeam和IBM发布补丁修复高危漏洞。攻击者可利用漏洞控制系统，用户需立即更新以防范威胁。