FreeBuf互联网安全新媒体平台

通过实践经验解读最新风险评估标准，通过资产识别、威胁识别、脆弱性识别以及已有安全措施识别，剖析风险评估过程

产生的根源在于，服务器端对客户端提交的数据操作请求过度信任，在处理请求时，忽视了对用户操作权限的严格判定。

黑客声称窃取600万条记录，甲骨文否认数据泄露。Oracle客户证实云数据泄露事件中被盗数据真实有效。

HTB-Devvortex-WriteUp 靶场实战

HackTheBox-GoodGames靶场writeup

Splunk 遭 RCE 攻击，低权限用户可上传恶意文件执行任意代码（CVE-2025-20229）。

Chrome 浏览器的零日漏洞正被复杂的威胁行为者积极利用，漏洞编号为 CVE-2025-2783。

#Padding-Oracle #AES_CBC #路径劫持权限提升

网络安全研究人员在npm注册表中发现两个恶意软件包，这些软件包专门感染本地安装的其他程序包。

该漏洞是一个未授权栈溢出以及格式化字符串漏洞，而非命令注入漏洞。

新型SectopRAT木马武器化Cloudflare验证系统，通过伪造CAPTCHA攻击Windows用户，窃取敏感数据并建立持久后门。企业感染率激增，传统安全方案难检测。

本文简述了移动端GPU安全研究方向、GPU的攻击面梳理、漏洞分析等内容。

攻击策略正变得更具创造性和危险性。

从零开始搭建一个高可用的Kubernetes（k8s）一主两从集群，适合初学者和运维人员快速上手。

手把手教你配置Kubernetes Pod水平自动伸缩(HPA)，涵盖CPU/内存扩缩容和Prometheus自定义指标，附完整YAML示例和调优技巧。适合DevOps和K8s运维。

CSS-in-JS 是一种前端开发技术，它将 CSS 代码直接嵌入到 JavaScript 代码中，以解决传统 CSS 的一些局限性。

美国法警近日逮捕了2.43亿美元加密货币盗窃案的关键嫌疑人维·切塔尔（Veer Chetal），其网络代号为“Wiz”。

CNVD-C-2023-655149用友u8 cloud存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据。

高危零日漏洞！攻击者仅需诱骗用户查看恶意文件即可窃取NTLM凭证，影响所有Windows版本！微软尚未修复，临时补丁紧急发布。

该漏洞源于访问控制机制存在缺陷。