FreeBuf互联网安全新媒体平台

OWASP在2025年发布了最新版本的内容，进一步强调了LLM应用安全的特殊性。

岗位名称：信息安全官汇报对象：CIO日常工作任务及职责1、主导信息安全事件的溯源与分析2、建立数据泄露监测预警体系3、定期开展公司级安全评估4、建立云上云下统一的安全防护体系5、制定员工信息安全行为准则招聘要求：专业：计算机科学、信息安全、网络工程等相关专业工作经验：3年以上安全岗位经验熟悉信息安全相关法律法规和行业标准。掌握信息安全技术，包括网络安全、数据安全、应用安全、安全攻防等方面的知识和技

分享几个近期暗网 0day 售卖情报预警，可能会对企业造成严重影响。

WordPress的GiveWP插件漏洞威胁10万家网站，攻击者无需认证即可远程执行代码，可能导致财务欺诈、数据泄露，甚至网站被完全控制。

CISA紧急警告：VMware三个高危漏洞正被积极利用，攻击者可控制虚拟机管理程序、窃取内存数据，企业需立即修补！延迟修复或导致大规模数据泄露，威胁虚拟化基础设施安全。

Vim 编辑器漏洞 CVE-2025-27423 可被恶意 TAR 文件利用，导致任意代码执行，严重影响用户系统安全，需立即升级至 9.1.1164 版本修复。

新型后门程序Sosano通过多语文件传播，针对阿联酋关键基础设施企业，威胁行为者利用入侵邮箱发送恶意邮件，CISO需警惕其扩散。

新型后门程序Sosano通过多语文件传播，针对阿联酋关键基础设施企业，威胁行为者利用入侵邮箱发送恶意邮件，CISO需警惕其扩散。

Broadcom紧急修复VMware ESX产品中的三个0Day漏洞，攻击者已利用漏洞实现虚拟机逃逸，威胁严重，需立即更新。

从首位漏洞发现者的视角带你构造CC1链。

微软 Windows KDC 代理曝严重远程代码执行漏洞（CVE-2024-43639），攻击者可完全控制服务器。

此次发现暴露了一个跨越多个领域的重大全球性安全威胁，涉及医疗、教育、制造、建筑、石油行业和政府机构等。

据知情人士透露，美国国防部长皮特·赫格塞思已下令要求美国网络司令部停止针对俄罗斯的进攻行动。

黑客19分钟内即可窃取云端AI模型访问权限。利用泄露密钥，攻击者迅速劫持企业AI系统，牟取暴利，威胁数据安全与成本控制。

ArtificialUniversity是Hack The Box上INSANE难度Chanllenges的web题，它模拟了在线教育平台购买课程的商城模块，项目源码分为grpc开启的product_

公众号留言互动即有机会获得赠书

分享JDBC 反序列化链实际操作。

JWT虽然是一种广泛使用的身份验证方式，但也可能存在安全漏洞。

ESET杀软安装目录中存在一个白程序，可以像windows下的MsiExec.exe功能一样来执行msi安装包。

Windows 上使用 Hashcat 进行 GPU 加速密码破解在学习Hashcat的工具使用时，由于VM虚拟机 Kali Linux 无法使用 GPU 运行 Hashcat，因此我们转向物理机