飞牛系统(fnOS)app-center-static 目录遍历导致的任意文件读取漏洞+命令执行漏洞
漏洞简介飞牛系统(fnOS)app-center-static 存在目录遍历导致的列目录和文件读取漏洞,未授权的攻击者可利用该漏洞读取服务器系统上任意文件如私钥(/usr/trim/etc/rsa_p
阅读全文天津大学 | 基于操作依赖分析的MLIR编译器基础设施模糊测试
论文题目:Fuzzing MLIR Compiler Infrastructure via Operation Dependency Analysis论文作者:Chenyao Suo, Junjie
阅读全文Kubernetes 通过 nodes/proxy GET 权限在集群任意 Pod 中执行命令(RCE)
Kubernetes RBAC 中的一个授权绕过允许仅拥有 nodes/proxy GET权限的主体在集群内任意 Pod 中执行命令。原文链接作者<https://grahamhelton.com/b
阅读全文银狐黑产木马最新免杀样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。最近几年银狐类黑
阅读全文2026年OWASP LLM安全新格局
近日,OWASP发布了其针对大语言模型应用安全的十大风险预测,揭示了2026年AI安全领域将面临的重大挑战。随着LLM技术的演进,安全威胁正在经历根本性转变。从传统提示注入到多模态攻击,从静态漏洞到动
阅读全文与等保同频,与时代共进:绿盟科技二十余载筑牢中国网络安全基石
1月29日,2026年网络安全等级保护技术学术交流活动在四川成都举办。活动以“科技赋能·筑基强网”为主题,探讨新时代网络安全等级保护制度的深化实施、技术创新与育才强基新举措。同时,大会回顾等保制度三十
阅读全文【安全圈】国产飞牛系统fnOS疑似出现重大安全漏洞 官方已修复但没有发布安全公告
关键词漏洞据 V2EX 与飞牛官方论坛多名网友反馈,飞牛系统(fnOS)疑似存在严重安全漏洞,已有多台部署该系统的设备遭到黑客攻击,目前尚无法确认是否发生数据泄露。部分用户表示,即便已启用 HTTPS
阅读全文【安全圈】Metasploit 发布 7 个新漏洞利用模块 覆盖 FreePBX、Cacti 和 SmarterMail
关键词漏洞本周 Metasploit 框架的最新更新为渗透测试人员和红队成员带来重大增强,新增了七个针对常用企业软件的漏洞利用模块。本次更新的亮点包括三个针对 FreePBX 的复杂模块,以及针对 C
阅读全文【安全圈】AI 助手 Clawdbot 现象级爆火背后:全网 8000+ 资产暴露
关键词数据泄露只需一句话,它就能帮你写代码、回邮件、整理文件—— Clawdbot(现已更名为 Moltbot)正以惊人的速度席卷全球。从硅谷极客热议到国内阿里云、京东云等大厂相继上线配套云服务,Mo
阅读全文信息安全、网络安全和数据安全的区别与联系
点击上方蓝字谈思实验室获取更多汽车网络安全资讯在数字化时代,信息的流动与存储已经成为我们日常生活、企业运营及国家治理中不可或缺的一部分。然而,随着云计算、大数据、物联网等信息技术的飞速发展,信息泄露、
阅读全文SerDes的TDC
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01TDC 是什么?TDC 的全称是 Time-to-Digital Converter,即时间数字转换器。它的功能与传统的 ADC 非常相似,但测量的对
阅读全文应急案例分享-利用UEMS作为远控
点击蓝字 关注我们事发某同事突然在微信工作群里发送关于补助办理以及二维码的通知。随后群里的同事以及受害者本人看到消息,判断出可疑并立刻通知到安全团队。遂上机排查。分析与排查受害者A记录同样是从网络外联
阅读全文Metasploit发布7个新漏洞利用模块,覆盖FreePBX、Cacti和SmarterMail
本周 Metasploit 框架的最新更新为渗透测试人员和红队成员带来重大增强,新增了七个针对常用企业软件的漏洞利用模块。本次更新的亮点包括三个针对 FreePBX 的复杂模块,以及针对 Cacti
阅读全文Clawdbot数千个Agent暴露在公网;恶意VS Code扩展“ClawdBot Agent”伪装AI助手 | FreeBuf周报
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🤖“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”🐎
阅读全文云迁移安全常见误区及规避策略
云服务采用率正在快速攀升,但许多企业仍低估了从安全角度看云迁移的复杂性和风险。虽然将工作负载从本地环境迁移至云端能带来灵活性、可扩展性和成本优势,但云环境也引入了一系列传统基础设施团队往往准备不足的新
阅读全文强网杯S9 Real World - monotint
本次强网杯线下和0x300R的师傅们一起打了,其他师傅都太强啦。但最后一天的时间很短,我们最后demo的4题,基本都因为环境问题,没有成功,其中就包括了我这里demo 的monotint,一道浏览器的
阅读全文今晚7点直播 | 如何绕过路由器的认证机制?D-Link设备漏洞挖掘实战直播
今晚7点,《系统0day安全-IOT设备漏洞挖掘(第6期)》系列直播聚焦经典路由设备——D-Link,带你深入设备内部,拆解那些被隐藏的致命漏洞。我们将从实战出发,解析认证绕过漏洞的多种技巧与精选案例
阅读全文2025年网络信息安全大事件回顾
重大网络攻击与数据泄露事件1、最大规模密码泄露:160亿条用户凭证暗网流通事件时间:2025年6月事件概述:海量凭证泄露Cybernews披露,暗网上出现超过160亿条包含邮箱和明文密码的结构化凭证。
阅读全文【漏洞预警】国产飞牛系统 fnOS 出现安全漏洞
先关注,不迷路.免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文
阅读全文习近平:发挥比较优势 坚持稳中求进 推动我国未来产业发展不断取得新突破
习近平在中共中央政治局第二十四次集体学习时强调发挥比较优势 坚持稳中求进推动我国未来产业发展不断取得新突破中共中央政治局1月30日下午就前瞻布局和发展未来产业进行第二十四次集体学习。中共中央总书记习近
阅读全文从“检测恶意”到“发现异常”:基于 Novelty Search 的威胁检测新范式
一年前有个想法,当初仅仅只是简单记录了粗糙的文字,随着对威胁检测领域地不断思考,基于认知优先与跨领域理论反证推导的思路持续对当初自己的想法进行了进一步的扩展与论证,记得2023年初自己一开始不知道威胁
阅读全文【水文章】记录一下去年做的事情
网安引领时代,弥天点亮未来 0x00写在前面 去年基本没怎么上班,日常就是挖洞、写代码、打游戏、看电视。剩下的时间都在各地跑,参加一些短期项目,基本是哪里有项目就赶过去。0x01流水账
阅读全文“逆向VM字节码程序”的学习(三)
本篇文章,我们来编写一份VM字节码运用的代码,加深对字节码地理解与运用技巧。共分为三个部分,一是带2个例子的代码程序;二是代码的解读;三是总结。一、用pascal写一个VM字节码的程序先来看下运行后的
阅读全文【网络安全】2026年网络安全等级保护技术学术交流活动和第六届“天府杯”国际网络空间安全大赛在蓉举办
2026年网络安全等级保护技术学术交流活动和第六届“天府杯”国际网络空间安全大赛在蓉举办2026年1月29日,以“科技赋能·筑基强网”为主题的网络安全等级保护技术学术交流活动在四川成都隆重召开。本次活
阅读全文习近平同阿尔及利亚总统特本就阿尔及利亚遥感三号卫星发射成功互致贺电
1月31日,国家主席习近平同阿尔及利亚总统特本互致贺电,祝贺阿尔及利亚遥感三号卫星在酒泉发射成功。习近平指出,阿尔及利亚遥感三号卫星项目是继阿尔及利亚一号通信卫星之后,中阿双方在航天领域的又一成功合作
阅读全文红米Turbo5 Max的主摄牛吗?光影猎人600又是何方神圣?
这款最新推出的光影猎人系列传感器对应型号为思特威SC532HS,其最显眼的特征就是支持不带Max尾缀的普通版本 DCG-HDR,因此小米宣称其动态范围可达12.5EV。当然,作为思特威家族的一员,其与
阅读全文等保发展新跨越:第五级备案证明首次颁发
点击蓝字关注我们2026年1月29日,一个注定被载入中国网络安全发展史册的重要时刻在成都庄严降临。在"2026年网络安全等级保护技术学术交流活动"开幕式上,"首个网络安全等级保护第五级信息系统备案证明
阅读全文