Aggregator

Everything you need to know about npm compromises from Shai-Hulud’s latest campaign, including detection and prevention guidance

A new malware campaign has been identified using a Python-based delivery system to deploy CastleLoader malware

Pro-Russia hacktivist groups have been observed exploiting exposed virtual network computing connections to breach OT systems

近期出现多起利用 ChatGPT 共享链接聊天记录实施的网络钓鱼攻击，其攻击套路大致如下： 攻击者首先在谷歌平

Recent supply-chain breaches show how attackers exploit development tools, compromised credentials, and malicious NPM packages to infiltrate manufacturing and production environments. Acronis explains why secure software development life cycle (SSDLC) practices are now critical for evaluating partners and protecting systems. [...]

A new phishing kit called Spiderman is being used to target customers of dozens of European banks and cryptocurrency holders with pixel-perfect cloned sites impersonating brands and organizations. [...]

文章描述了一次CTF挑战过程，使用Nmap进行默认脚本扫描和版本探测，利用FTP匿名登录获取用户列表和密码文件，并通过Gobuster发现隐藏的login.php页面。最终使用获取的admin凭证登录并获得flag。

在HackTheBox的Outbound实验室中，作者通过Nmap和Nuclei发现并利用Roundcube服务器的漏洞（CVE-2025-49113），获得低权限shell。随后通过数据库枚举和会话解密获取用户密码，利用SSH登录并切换用户。最后利用另一个漏洞（CVE-2025-27591）提升权限至root，并获取root flag。

文章介绍了一个名为“Phishing Pond”的训练室，通过真实邮件示例教授如何识别钓鱼攻击。它分析了常见的钓鱼手法如伪装域名、紧急请求、恶意附件等，并指导用户分类邮件以完成挑战。最终获得flag并提升识别能力。

作者在暗网论坛发现关于CloudCorp Inc.的信息泄露，利用这些信息成功入侵并获利。

嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。首先，我得仔细阅读文章内容，抓住主要信息。 这篇文章讲的是作者在暗网论坛上偶然发现了一个关于“CloudCorp Inc.”公司的漏洞。作者本来只是随意浏览，结果发现有人抱怨测试一个“愚蠢”的目标，结果无意中透露了很多信息。这可能涉及到云安全或者SaaS服务的漏洞。 接下来，我需要提炼出关键点：作者在暗网论坛发现漏洞、公司名称是CloudCorp Inc.、信息泄露导致潜在安全问题。然后把这些点浓缩成一句话，不超过一百个字。 还要注意用词简洁，避免复杂结构。比如，“发现”、“泄露”、“安全问题”这些词比较合适。最后检查一下字数和流畅度，确保符合要求。 作者在暗网论坛偶然发现一帖子，泄露了云服务公司"CloudCorp Inc."的漏洞信息。

Google Says Gemini Enterprise Agentic AI Model Is Ready for Banking Clients
BNY is integrating Google Cloud's Gemini Enterprise agentic artificial intelligence platform into its proprietary enterprise AI platform, Eliza. The move represents an evolution from AI as a pilot project to AI as infrastructure for the global financial services organization.

文章介绍了作者的Android渗透测试方法论，涵盖静态分析（如反编译APK、检查权限和敏感数据存储）和动态分析（如绕过反root检测和SSL pinning）。通过工具和技术手段（如Magisk Hide、Frida脚本）实现安全措施的绕过。

好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得仔细阅读文章，理解其主要内容和结构。 文章开头介绍了Nessus漏洞扫描器，并强调了未经授权使用Nessus的非法性。接着，作者详细描述了如何在Kali Linux和Metasploitable 2虚拟机上设置环境。然后，一步步指导如何安装和配置Nessus，包括获取激活码和处理可能的错误。最后，展示了扫描结果，并列出了关键漏洞及其修复方法。 用户的要求是用中文总结，不需要特定的开头，直接描述内容。我需要确保在100字以内涵盖主要步骤：安装Nessus、设置虚拟机、扫描Metasploitable 2、生成报告以及关键漏洞说明。 可能会遗漏一些细节，比如具体的安装命令或每个漏洞的详细信息，但这些不是总结的重点。重点在于流程和结果。 现在组织语言：文章介绍如何使用Nessus扫描Metasploitable 2漏洞，包括环境搭建、工具安装、扫描过程及结果分析。这样大约40字左右，符合要求。 文章介绍如何使用 Nessus 漏洞扫描器对 Metasploitable 2 进行安全测试，包括环境搭建、工具安装、扫描过程及结果分析。

eJPT认证适合新手入门学习渗透测试基础技能,但过度依赖Nmap和Metasploit等传统工具,缺乏对现代网络安全环境的模拟,如云环境、API安全及EDR/AV防御机制等,且缺少报告撰写环节,整体内容略显陈旧,适合零基础学习者,但对专业人士而言过于简单。

美国国务院在拜登政府时期将官方文件字体从Times New Roman改为Calibri以提升可访问性，但在特朗普政府时期又恢复使用Times New Roman以强调专业性。

Vipul在The Hacker’s Log分享实用侦察技术，包括隐藏来源、OSINT技巧、GitHub泄露嗅探等方法，帮助发现未被报告的漏洞。