Salesloft: GitHub账户遭入侵 导致Drift令牌被盗并引发大规模Salesforce数据窃取
Salesloft近日表示,攻击者最早于3月入侵了其GitHub账户,进而窃取了Drift平台的OAuth令牌——这些令牌随后在8月被用于大规模Salesforce数据窃取攻击。Salesloft是一
阅读全文终端实时流量监控工具 Netop
流量分析是网络安全和Linux运维领域必不可少的手段之一。利用netop 这款工具可以自定义过滤网络流量规则。本文让我们一起来学习吧~netop命令安装部署执行下面命令,利用Docker一键部署。do
阅读全文民警劝阻12次无果,女教师被骗400万元!比诈骗更可怕的,是觉得自己不会被骗
“你们别管我!他是真的爱我,这钱是投资不是被骗!”“我怎么可能被骗!我可是老师啊!”民警不厌其烦地12次电话、上门劝阻,还是没能保住袁女士的400万。袁女士是上海一名38岁的单身女老师,她在网上偶然邂
阅读全文iPhone17史上最重要安全升级:MIE技术抵御各类内存破坏漏洞
苹果安全工程与架构团队(SEAR)近日发布了内存完整性强制保护技术(Memory Integrity Enforcement,MIE),这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上
阅读全文攻防渗透集锦JS泄露突破多个后台
记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分离网站下渗透突破思路呢。文章作者:奇安信攻防社区(一天要喝八杯水)参考来源:ht
阅读全文一款免费开源轻量的漏洞情报系统 | 漏洞情报包含:组件漏洞 + 软件漏洞 + 系统漏洞
工具介绍bug_search一款免费开源轻量的漏洞情报系统基于python3 + Amis2.9 开发,仅依赖Flask,requests,无需数据库,Amis是百度开源的低代码前端框架漏洞情报包含:
阅读全文特别关注 | 《国家网络安全事件报告管理办法》正式发布,迟报、漏报、瞒报安全事件将被重罚
近日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称《办法》),自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时
阅读全文ChatGPT新增MCP工具支持存在安全隐患,攻击者可窃取邮件隐私数据|Google Drive漏洞可致云端文件遭全盘访问
ChatGPT新增MCP工具支持存在安全隐患,攻击者可窃取邮件隐私数据Part01功能集成带来的安全隐患ChatGPT最新推出的Model Context Protocol(MCP,模型上下文协议)工
阅读全文0day | 某在线拍卖系统代码审计
文章作者:先知社区(w*u)参考来源:https://xz.aliyun.com/news/187131►环境搭建先创建一个mysql数据库名为:springbootp0eo6然后用source命令导
阅读全文【高危AI漏洞预警】Claude Code代理编程工具远程代码执行漏洞CVE-2025-59041
漏洞描述:Clаudе Cоdе是一款代理编程工具,用于代码的编写和管理。在1.0.105版本之前,Clаudе Cоdе在启动时会执行一个使用'ɡit соnfiɡ uѕеr.еmаil'模板化的命
阅读全文美国成为最大的间谍软件投资国|超1.6亿条记录!黑客组织声称窃取越南全国公民信用数据
提到商业间谍软件,人们首先想到的往往是以色列的Nexa、NSO Group等臭名昭著的“军火商”。然而,大西洋理事会近日发布一份重磅报告,揭露了一个惊人的事实:美国已超越以色列,成为全球商业间谍软件产
阅读全文苹果用户速更新!macOS存严重漏洞,用户隐私数据面临泄露风险
Part01漏洞概况近日,macOS系统发现一个CVSS评分高达 9.8 的高危漏洞,该漏洞可能允许应用程序绕过系统保护机制,非法访问受保护的用户数据。该漏洞编号为 CVE-2025-24204,目前
阅读全文【高危AI漏洞预警】Langflow容器权限提升漏洞CVE-2025-57760
漏洞描述:Lаnɡflоԝ是一款用于构建和部署AI驱动的代理和工作流的工具,它允许用户通过RCE访问权限调用内部CLI命令lаnɡflоԝ ѕuреruѕеr来创建新的管理员用户,即使用户最初通过UI
阅读全文朝鲜黑客组织扩充攻击武器库:新增Rustonotto后门及两大窃密程序
Zscaler威胁研究团队ThreatLabz最新披露了朝鲜背景黑客组织APT37(又称ScarCruft、Ruby Sleet或Velvet Chollima)的攻击细节,该组织持续采用现代编程语言
阅读全文GitHub藏在明处的10大媒介:你忽视了吗?
GitHub已经从最初的代码托管工具,成长为现代软件开发的核心平台。然而,当企业忙于扫描 npm、PyPI等官方依赖库时,却往往忽视了一个更普遍、更隐蔽的风险:贯穿整个软件开发生命周期的GitHub代
阅读全文这50个业务逻辑漏洞,能掌握的覆盖90日常工作!
业务逻辑漏洞已成为Web安全中最具挑战性的问题之一。与传统的SQL注入、XSS等技术型漏洞不同,业务逻辑漏洞往往隐藏在正常的业务流程中,难以通过常规的安全扫描工具发现。这类漏洞直接针对业务功能层面的缺
阅读全文RiskBird企业信息模糊查询工具
工具介绍RiskBird企业信息模糊查询工具1.本工具仅供学习与交流使用,不得将其用于任何商业或盈利目的。2.工具提供的内容和功能仅作参考,不保证完全准确、完整或适用于所有场景。3.使用本工具所产生的
阅读全文工业和信息化部等六部门联合部署开展汽车行业网络乱象专项整治行动|国家网信办持续深入整治违规开展互联网新闻信息服务乱象
工业和信息化部等六部门联合部署开展汽车行业网络乱象专项整治行动为落实国务院常务会议关于切实规范新能源汽车产业竞争秩序部署要求,工业和信息化部、中央社会工作部、中央网信办、国家发展改革委、公安部、市场监
阅读全文新型APT组织"嘈杂熊"针对国家能源部门发起网络间谍活动
Seqrite实验室APT研究团队近日发布了一份深度分析报告,披露了一个自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)。该组织主要针对哈萨克斯坦石油天然气行业,攻击手法结合了鱼
阅读全文虚假PDF编辑器暗藏TamperedChef信息窃取恶意软件
威胁者一直在利用多个通过谷歌广告推广的网站,分发一款看似可信的PDF编辑应用,而该应用实则会植入名为TamperedChef的信息窃取恶意软件。 此次活动是一项大规模网络行动的一部分,该行动涉及多款可
阅读全文【高危漏洞预警】SAP NetWeaver Java反序列化漏洞CVE-2025-42944
漏洞描述:SAP NеtWеаvеr是一款企业级应用平台,广泛用于企业资源规划、客户关系管理等业务领域,该漏洞存在于RMI-P4模块中,由于反序列化机制处理不当未经身份验证的攻击者可以通过向开放端口发
阅读全文向间谍软件说不?iPhone 17的最大卖点是安全|知名车企被黑后停产超一周:每天或损失约5000万元利润 中国工厂亦受影响
在AI蔓延、漏洞横飞、个人隐私面临空前威胁的2025年,苹果的新一代iPhone手机第一次将“安全”作为产品力的核心卖点。iPhone17系列手机将搭载苹果的一项杀手级安全技术——Memory Int
阅读全文Chrome紧急修复两大高危远程代码执行漏洞|迄今最大供应链入侵:GhostAction攻击窃取GitHub中3325个机密凭证
Google已针对Windows、Mac和Linux平台的Chrome浏览器发布紧急安全更新,修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。Part01
阅读全文为什么88%的CISO在零信任实施中“崩溃”?
零信任(Zero Trust)常被定义得模糊、缺乏激励措施,而且往往是一段没有尽头的旅程。正如一位身份认证经理调侃道:“我真想见见那12%没觉得困难的人。”根据埃森哲(Accenture)近期发布的一
阅读全文EasyTshark 一款适合新手入门的抓包工具
Wireshark是一款网络安全和Linux运维神器。但是对于新手而言,上手较难。因此,本文为大家推荐一款基于Wireshark二次开发的抓包工具EasyTshark使用体验接下来,让我们体验这款工具
阅读全文纽约大学开发出首个“AI勒索软件”,主流杀软无法识别|马斯克麾下人工智能Grok被黑客用来传播恶意软件
上个月,安全厂商ESET在VirusTotal上发现一段异常的Golang代码,并将其命名为PromptLock,宣称这是首个“AI驱动的勒索软件”。该样本不仅包含文件系统扫描、数据外泄、勒索信生成等
阅读全文网络安全岗位大洗牌,AI正在重塑工作与职业路径
生成式AI正在改变网络安全岗位结构:入门级岗位受冲击,AI增强型岗位需求增长。新兴岗位包括防御性AI安全、AI驱动安全运营、AI风险与治理、AI取证与研发,要求人才掌握AI技能与批判性思维。金融、医疗
阅读全文黑客借助HexStrike-AI工具可快速利用新型漏洞|TP-Link确认路由器存在未修复零日漏洞
研究发现,黑客正越来越多地在实际攻击中使用一款名为HexStrike-AI的新型AI驱动攻击性安全框架,利用新披露的n-day漏洞实施攻击。这一活动由CheckPoint Research报告。该机构
阅读全文CyberPoC 是一个现代化的网络安全练习和竞赛平台,支持容器化部署的安全挑战,为用户提供实践网络安全技能的环境
工具介绍CyberPoC 是一个现代化的网络安全练习和竞赛平台,支持容器化部署的安全挑战,为用户提供实践网络安全技能的环境。🚀 快速开始使用 Docker Compose (推荐)克隆项目 git
阅读全文