Aggregator

一位后端开发人员和软件工程师分享了其在人工智能领域的学术和专业背景，并探讨了编程、微服务配置模式、.NET应用设置及YAML等技术话题。

HackerNews 编译，转载请注明出处： 美国高级网络官员周二呼吁私营部门与联邦政府密切合作，以实现唐纳德·特朗普总统的“美国优先”愿景。 “特朗普总统的首要原则是将美国放在首位。网络战略环境也不例外。”国家网络主任肖恩·凯恩克罗斯（Sean Cairncross）在华盛顿的比灵顿网络安全峰会上发表主题演讲时说。 这是他自上任以来首次发表重大政策演讲，他列举了当今的数字威胁，从勒索软件攻击和间谍活动到关键基础设施的预置和影响行动，称尽管美国在“识别、应对和消除威胁”方面有所改进，但“我们仍然缺乏战略连贯性和方向”。 “我们已经对问题研究了太久，现在是时候采取行动了。”他对听众说，并补充说政府将提出一项战略，以推进美国在网络空间的利益并遏制对手。 “今天，我寻求你们的参与和帮助，通过将美国公民放在首位，将美国公司放在首位，我们将把美国放在首位，这就是重点。”他补充道，“我们的生活方式，我们的日常生活，依赖于一个开放和安全的网络空间。” 白宫的国家网络主任办公室（ONCD）是2021年由国会创建的，旨在协调各政府机构之间的网络安全工作，制定和实施国家网络安全政策，并就关键网络问题向总统提供建议。 凯恩克罗斯曾是共和党全国委员会官员，此前在特朗普第一任期期间担任千年挑战公司机构的首席执行官。他上个月被确认为国家网络主管。 “我们拥有所有必要的工具，现在我们有了应对这些挑战的政治意愿。”凯恩克罗斯说，“我们必须共同努力，利用我们国家所有的网络能力，来塑造对手的行为，并且最重要的是，将网络空间的风险负担从美国人转移到他们身上。这就是我和我的团队在这里要做的事情。” 他指出了一些私营部门和公共部门可以合作的领域，例如推动更新2015年的一项标志性法律，该法律加速了威胁情报共享，如果国会不采取行动，该法律将在本月底到期。 凯恩克罗斯还表示，行业必须“坚持安全和隐私设计等标准”，而政府必须“简化网络法规和合规负担”。 他对听众说：“政府知道，美国公司首先对他们的股东和董事会负责，就像我们的政府对人民负责一样，这是应该的。但这并不否定这里存在巨大的利益一致点，我们的工作是识别它们并采取行动。” “特朗普正在恢复美国的优越性和伟大，美国也将在网络空间做到这一点。”凯恩克罗斯说。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了“521错误代码”的情况及其原因和影响，并指出该问题通常与服务器配置错误或CDN连接中断有关。

HackerNews 编译，转载请注明出处：     今天是微软2025年9月的“周二补丁日”，包括针对81个漏洞的安全更新，其中包含两个公开披露的零日漏洞。 此次“周二补丁日”还修复了9个“严重”漏洞，其中5个是远程代码执行漏洞，1个是信息泄露漏洞，2个是权限提升漏洞。 以下是每个漏洞类别的漏洞数量： – 41个权限提升漏洞 – 2个安全功能绕过漏洞 – 22个远程代码执行漏洞 – 16个信息泄露漏洞 – 3个拒绝服务漏洞 – 1个欺骗漏洞 当BleepingComputer报道“周二补丁日”的安全更新时，我们只计算在“周二补丁日”发布的更新。 因此，漏洞数量不包括本月早些时候修复的三个Azure漏洞、一个Dynamics 365 FastTrack实施资产漏洞、两个Mariner漏洞、五个Microsoft Edge漏洞和一个Xbox漏洞。 要了解更多关于今天发布的非安全更新的信息，您可以查看我们关于Windows 11 KB5065426和KB5065431累积更新以及Windows 10 KB5065429更新的专门文章。 修复两个公开披露的零日漏洞 本月的“周二补丁日”修复了Windows SMB服务器和Microsoft SQL服务器中的两个公开披露的零日漏洞。微软将零日漏洞定义为在没有官方修复程序的情况下公开披露或正在被利用的漏洞。 这两个公开披露的零日漏洞是： · CVE-2025-55234 – Windows SMB权限提升漏洞 微软修复了一个通过中继攻击利用的SMB服务器权限提升漏洞。 “根据配置，SMB服务器可能容易受到中继攻击。成功利用这些漏洞的攻击者可以执行中继攻击，并使用户受到权限提升攻击。”微软解释道。 微软表示，Windows已经包括了一些设置，以增强SMB服务器对中继攻击的防护，包括启用SMB服务器签名和SMB服务器扩展保护认证（EPA）。 然而，启用这些功能可能会导致与旧设备和实现的兼容性问题。 微软建议管理员在SMB服务器上启用审核，以确定在完全强制执行这些加固功能时是否会遇到任何问题。 “作为2025年9月9日及以后发布的Windows更新的一部分（CVE-2025-55234），启用了对SMB服务器签名以及SMB服务器EPA的SMB客户端兼容性的审核支持。”微软解释道。 微软没有将该漏洞归因于任何研究人员，目前尚不清楚该漏洞是在何处被披露的。 · CVE-2024-21907 – VulnCheck：CVE-2024-21907 Newtonsoft.Json对异常条件的不当处理 微软修复了Newtonsoft.Json中的一个已知漏洞，该漏洞是作为Microsoft SQL Server的一部分包含的。 “CVE-2024-21907解决了Newtonsoft.Json在13.0.1版本之前的异常条件处理不当漏洞。”微软解释道。 “传递给JsonConvert.DeserializeObject方法的精心制作的数据可能会触发StackOverflow异常，导致拒绝服务。根据该库的使用情况，未经身份验证的远程攻击者可能能够导致拒绝服务条件。” “记录的SQL Server更新包含了修复此漏洞的Newtonsoft.Json更新。” 该漏洞于2024年被公开披露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的常见原因及其对网络连接的影响，并提供了相应的解决措施和建议。

封闭计算环境作为中间路径

当前环境异常，请完成验证以继续访问。

Claude AI新增文档创建与编辑功能，支持Excel、Word、PPT和PDF格式。用户可通过描述需求或上传文件快速生成所需文档。目前仅限Max、Team和企业版用户使用，Pro版用户几周后开放。

一步一步构建出C2，毫无保留！

文章探讨了云计算带来的便利与安全风险，强调了数据加密、访问控制和监控的重要性，并建议企业采用最佳实践和寻求专业帮助以确保云数据安全。

HackerNews 编译，转载请注明出处： 科索沃国民利里顿·马苏里卡（Liridon Masurica）承认运营BlackDB.cc，这是一个自2018年以来一直活跃的网络犯罪市场。 2024年12月14日，科索沃当局逮捕了33岁的被告（在线也被称为@blackdb）。2025年5月9日，他被引渡到美国，并在5月12日于佛罗里达州坦帕出庭后被拘留。 根据法庭文件，马苏里卡是在线犯罪市场BlackDB.cc的主要管理员，该市场自2018年至2025年近七年来一直在运营。 司法部表示，该市场出售被入侵的账户和服务器凭据、被盗信用卡信息以及全球受害者的个人身份信息（PII），特别关注来自美国的个人。 网络犯罪分子购买了BlackDB市场上的这些敏感信息，用于各种非法活动，包括信用卡欺诈、税务欺诈和身份盗窃。 马苏里卡被控五项未经授权使用访问设备进行欺诈的罪名和一项共谋进行访问设备欺诈的罪名。如果所有罪名成立，BlackDB市场管理员可能面临最高55年的联邦监禁。 联邦调查局与科索沃警察网络犯罪调查局合作协调了调查，得到了司法部国际事务办公室和联邦调查局在索非亚的法律专员办公室的支持，后者协助将马苏里卡逮捕并引渡到美国。 2024年12月，一次联合执法行动导致Rydox网络犯罪市场被查封，并逮捕了其三名管理员，分别是科索沃国民阿尔迪特·库特莱希（Ardit Kutleshi）、杰特米尔·库特莱希（Jetmir Kutleshi）和申德·索科利（Shpend Sokoli）。几天前，德国执法人员在关闭该国最大的在线网络犯罪市场Crimenetwork和Manson市场后逮捕了关键嫌疑人。 今年早些时候，乌克兰当局应巴黎检察官办公室的请求，逮捕了俄语黑客论坛XSS的涉嫌管理员，就在法国据报道拘留了BreachForums黑客论坛的五名运营商一个月后。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的含义及其常见原因。该错误通常由Cloudflare触发，表示Cloudflare的服务器无法连接到网站的源服务器。这可能是由于源服务器未正确配置、网络连接问题或源服务器暂时不可用导致的。

本文作为CodeQL分析java反序列化gadget的第一期，面向CC链和CodeQL的初学者，会以漏洞挖掘者的视角，利用CodeQL重新挖掘并审计一遍CC1链，

HackerNews 编译，转载请注明出处： 一个名为LunaLock的新兴勒索软件团伙出现在威胁环境中，采用了一种独特的网络勒索技术，威胁将窃取的艺术作品转化为人工智能训练数据。 最近，LunaLock团伙针对艺术家与客户（Artists&Clients）网站发起攻击，窃取了数字艺术作品。该团伙向受害者索要5万美元，威胁要泄露数据，并将窃取的数据用于训练大型语言模型（LLMs）。 “我们入侵了艺术家与客户网站，窃取并加密了其全部数据。如果你是该网站的用户，我们敦促你联系网站所有者，并要求他们支付赎金。如果赎金未支付，我们将在该Tor网站上公开发布所有数据，包括源代码和用户个人信息。此外，我们将把所有艺术作品提交给人工智能公司，加入其训练数据集。”勒索软件团伙在其Tor数据泄露网站上发布的公告中写道。 LunaLock黑客在技术上相当熟练，且似乎是以英语为母语的人。 这种新型勒索手段旨在通过将被盗数据纳入用于训练LLMs的数据集中，来侵犯受害者的知识产权。未来，其他勒索软件团伙可能会将被盗数据上传至公开可访问的数据库，使其能被人工智能训练管道轻松抓取。一旦数据被纳入人工智能模型，它就变得事实上永久存在，与可能随时间逐渐消失的暗网泄露不同。LunaLock的做法开创了一个危险的先例。 专家指出，LunaLock对艺术家与客户网站的攻击不同寻常，因为勒索软件通常会针对那些有可能支付赎金的行业。双重或三重勒索对自由职业者可能无效。艺术家们已经在保护他们的作品，使其免受黑客攻击和人工智能数据抓取的侵害。 像OpenAI、谷歌和Anthropic这样的人工智能公司会抓取在线艺术作品来训练模型。Anthropic最近同意支付至少15亿美元来解决由作者提起的版权诉讼，这是美国首例人工智能版权案件。 为应对这一问题，芝加哥大学计算机科学教授赵本（Ben Zhao）创建了Glaze和Nightshade这两种工具，它们可以微妙地改变图像，使其对人类看起来正常，但却会误导人工智能训练。 赵本的工具Glaze和Nightshade于2022年推出，至今已有超过300万次下载，被艺术家广泛用于保护他们的作品免受人工智能抓取和像LunaLock这样的勒索软件威胁。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的问题，通常由Cloudflare引起，表明源服务器无法连接或响应异常。

根据国家信息安全漏洞库（CNNVD）统计，本周（2025年9月1日至2025年9月7日）安全漏洞情况如下

近日，个别公司及企业在互联网上公开宣传并开展国家信息安全漏洞库CNNVD证书获取服务，针对此情况，我中心严正声明如下

当前环境出现异常，需完成验证后方可继续访问。

当前环境出现异常，请完成验证后继续访问。

文章描述了一次安全测试过程，通过路径遍历、SQL注入等技术手段发现多个系统漏洞，并获取了敏感信息和服务器凭证。最终强调了安全工作需细心，并附有免责声明。