Aggregator

该漏洞可能允许攻击者利用竞争条件，导致拒绝服务（DoS）攻击。

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

曾几何时，验证码是横亘在人与机器之间的那道数字藩篱，以看似简单的交互，守护着虚拟世界的秩序。然而，当人工智能的浪潮席卷而来，昔日泾渭分明的界限开始变得模糊不清。黑产团伙敏锐地捕捉到这种变化带来的“信任

-赛博昆仑漏洞安全风险通告-2025年1月微软补丁日安全风险通告漏洞描述近日，赛博昆仑CERT监测到微软发布了2025年1月安全更新，涉及以下应用：Windows,Microsoft Office,M

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文