متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
信息安全渗透攻防漏洞分享
الذهاب إلى القناة على Telegram
947
المشتركون
+224 ساعات
+137 أيام
+2330 أيام
أرشيف المشاركات
947
#数据泄漏 #PayPal #暗网
1580 万个 PayPal 账户凭证,在暗网只卖 750 美元?
links:https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/
947
#安全研究 #安全 #技术分享 #虚拟化 #逃逸 #CVE-2025-30712
研究通过静态分析和模糊测试发现了 QEMU 和 VirtualBox 中的关键虚拟机逃逸漏洞,包括缓冲区溢出和允许任意代码执行的整数溢出。
A Fuzzy Escape - A tale of vulnerability research on hypervisors(模糊逃脱——虚拟机管理程序漏洞研究的故事)
links:https://bughunters.google.com/blog/5800341475819520/a-fuzzy-escape-a-tale-of-vulnerability-research-on-hypervisors
947
#网络安全 #AI #安全研究 #AI安全
AI 企业级 0click 攻击曝光
在 Black Hat USA 2025 上,Zenity 团队展示了多种针对企业 AI 系统的 0click 攻击,无需用户交互即可入侵。研究案例包括:劫持 Microsoft Copilot Studio 代理窃取数据;利用 Salesforce Einstein 表单自动触发恶意任务;在 Cursor + Jira 集成中通过工单泄露敏感信息;以及通过武器化文档攻击 ChatGPT,实现凭证收集、数据外传甚至持久化控制。研究人员强调,现有 AI 安全护栏多为“软边界”,容易被绕过,只有更严格的“硬边界”才能有效防御。微软、Salesforce、Cursor、OpenAI 已在披露后完成修复,其中微软还为漏洞支付了 8000 美元赏金。这表明 AI 已成为新的攻击面,防护措施必须同步升级。
👉 详情与演示:labs.zenity.io/p/hsc25
947
#安全研究 #网络安全 #恶意软件分析 #计算机
第34届USENIX安全研讨会:
“HTTP中的静默危险:通过灰盒测试识别HTTP去同步漏洞”,2025年。
]->https://github.com/mukeran/HDHunter
//HDHunter-使用灰盒覆盖定向差分测试技术的自动HTTP差异检测框架
947
#安全事件 #安全研究 #内核安全 #网络安全
第34届USENIX安全研讨会:
“系统注册劫持:通过将系统注册转向系统来损害内核完整性”,2025。
https://zenodo.org/records/15146441
//…虽然我们所有的技术都为攻击者提供了新的途径,特别是利用x86-64交换指令的技术,既不需要通用寄存器也不需要堆栈控制,使其成为目前已知的最强大的内核利用原语之一…
另见:
]->USENIX Security'25技术会议(https://www.usenix.org/conference/usenixsecurity25/technical-sessions)
]->USENIX Security'25-所有被接受的论文(https://www.usenix.org/conference/usenixsecurity25/cycle1-accepted-papers)
947
#网络安全 #漏洞预警 #7Zip #RCE #渗透测试 #CVE2025
⚠️ 7-Zip 高危漏洞预警
CVE-2025-55188:安全研究员披露 7-Zip 存在任意文件写入漏洞,恶意构造的压缩包在解压时可将文件写入任意位置,可能被利用实现远程代码执行(RCE)。攻击者仅需诱导受害者解压即可中招。
📌 建议立即避免解压来源不明的压缩包,并关注 7-Zip 官方修复补丁。
🔗 漏洞详情:https://www.openwall.com/lists/oss-security/2025/08/09/1
947
#CVE-2025-38236 #Linux #内核缺陷 #内核安全
https://project-zero.issues.chromium.org/issues/423023990#attachment67577205
947
#CVE-2025-49113 #Roundcube #Webmail #反序列化漏洞 #漏洞分析 #网络安全 #安全研究 #渗透测试
这份名为《CVE-2025-49113 Roundcube Webmail反序列化漏洞分析》的文档,旨在深入探讨和分析Roundcube Webmail中被标记为CVE-2025-49113的反序列化漏洞。文章详细阐述了该漏洞的背景、技术细节、利用方式以及可能造成的危害。这份文档对于从事Webmail安全研究、漏洞分析和安全防御的专业人士来说,提供了重要的技术参考和深入洞察。
947
#Java代码审计 #代码审计 #Web安全 #漏洞总结 #审计方法 #安全防护 #漏洞挖掘 #渗透测试
这份名为《JAVA代码审计常用漏洞总结》的文档,旨在系统性地总结Java代码审计中常见的漏洞类型及其审计方法。文章通过跟踪用户输入数据和敏感函数参数回溯等主要审计方法,详细剖析了各种Java Web应用中可能存在的安全漏洞。这份文档对于从事Java开发、代码审计或安全研究的专业人士来说,是一份实用的漏洞总结和学习参考资料。
947
#HVV #红队 #渗透测试 #网络安全 #实战攻防 #漏洞利用 #Weblogic #Spring #struct2 #Web应用安全 #安全对抗
从目标选择入手,详细讨论了如何识别和利用各种脆弱资产,例如Weblogic、Spring、struct2等常见的Web应用框架漏洞。文档旨在为红队渗透测试人员提供实战中的攻击思路和技术细节,帮助他们在演习中更有效地执行任务。
947
#Metasploit #渗透测试 #网络安全 #Web安全 #读书笔记 #chowner #t00ls
由chowner@t00ls撰写 。文章系统地总结了Metasploit框架在渗透测试中的应用,详细记录了如何使用该工具进行漏洞利用和安全评估。内容涵盖了Metasploit的基础知识、核心模块以及实战技巧,为读者提供了深入理解和掌握Metasploit的宝贵经验。这份笔记对于网络安全研究人员和渗透测试工程师来说,是学习和实践Metasploit不可多得的参考资料。
947
#微信小程序 #小程序安全 #安全测试 #渗透测试 #Web安全 #漏洞挖掘 #安全指南 #渗透指南
为安全测试人员提供一套系统性的微信小程序安全测试方法和流程。文档概述了小程序安全测试的注意事项、测试重点和常见的漏洞类型。这份指南对于希望对微信小程序进行安全评估、漏洞挖掘的专业人士和安全爱好者来说,是一份有价值的参考资料 。
947
#网络安全 #渗透测试 #漏洞分析 #5G安全 #DEFCON33 #黑客技术 #RCE
来自 DEF CON 33 的最新安全研究陆续公开,涵盖预授权远程代码执行、任意短信发送及针对 5G/4G LTE 路由器的邻近攻击等高危漏洞,涉及范围广、攻击门槛低,值得安全研究人员重点关注。更多技术细节与 PoC 已在 GitHub 公布:https://github.com/actuator/DEFCON-33
