Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederfreebuf.com
FreeBuf.COM | 关注黑客与极客
Get the latest updates from FreeBuf.COM | 关注黑客与极客 directly as they happen.
Follow now 254 followers
Latest posts
Last updated 28 minutes ago
FreeBuf早报 | 恶意npm包利用CI/CD管道漏洞获取高权限;攻击者利用思科与Citrix 0Day漏洞部署后门
about 16 hours ago
全球网安事件速递1. 恶意npm包潜入GitHub Actions构建流程仿冒"@actions/artifact"的恶意npm包窃取GitHub Actions令牌,冒名发布恶意构件。该包伪装成合法模块,利用CI/CD管道漏洞获取高权限,影响超26万次下载。建议检查运行环境并更新安全措施。【
恶意MCP服务器可劫持Cursor内置浏览器
about 20 hours ago
新型 PoC 攻击证实:恶意模型上下文协议(MCP)服务器可向 Cursor 浏览器注入 JavaScript,甚至可能利用该 IDE 的权限执行系统级操作。
CVE-2025-32433漏洞深度剖析:ErlangOTP SSH 模块预认证RCE漏洞分析与复现指南
about 21 hours ago
前言随着数字化转型的深入,Erlang/OTP作为高并发场景的利器,在通信、金融、物联网等关键领域承载着核心业务。它广泛存在于各类物联网设备(如智能家居中枢、工业PLC控制器)、云原生边车应用、以及国内众多互联网公司的内部开发测试平台中。然而,其标准组件中潜藏的风险却往往被忽视。而CVE-2025-3243
解析The 7th XCTF总决赛Three
about 22 hours ago
Three - 基于三方安全多方计算的密码学挑战深度解析0x00 前言本文将深入剖析一道基于三方安全多方计算(Secure Multi-Party Computation, MPC)协议的CTF密码学题目。该题目通过模拟真实的分布式隐私计算场景,考察选手对秘密共享(Secret Sharing)、安全协议分析以及密码学数学基础的综合理解
Gogs 符号链接导致远程命令执行漏洞(CVE-2024-56731)深入研究报告
about 22 hours ago
CVE-2024-56731 (Gogs 符号链接导致远程命令执行) 深入研究报告1. 摘要1.1 漏洞概述CVE-2024-56731是Gogs (Go Git Service)中一个极其严重的远程命令执行漏洞,CVSS评分达到满分10.0。该漏洞本质上是对CVE-2024-3
逾4.6万个虚假npm包以蠕虫式垃圾攻击淹没注册库
about 24 hours ago
网络安全研究人员近日披露,自2024年初以来,npm注册库遭遇大规模垃圾攻击,数万个虚假软件包被注入其中,这很可能是一起以牟利为目的
Fluxion工具制作钓鱼WI-FI
1 day ago
使用工具VMware(kali-linux-2024.3)Fluxion两块支持监听模式的无线网卡(一块网卡用于持续发送Deauth 帧,使客户端wifi连接断开,从而尝试连接钓鱼热点的操作;另一块用于建立钓鱼热点。我自己实验发现只有一块网卡的话也可
记一次银狐木马应急响应处置及溯源分析
1 day ago
一、背景接到某客户IT运维负责人紧急联系,称其核心办公OA系统于凌晨出现多起异常登录行为,部分员工微信群聊传播恶意文件,疑似遭遇网络攻击。OA系统承载着公司1200余名员工的日常办公、合同审批、采购管理、财务报销及核心技术图纸流转等关键业务,一旦系统被非法控制或数据泄露,将直接影响生产经营秩序,甚至可能导致商业机密外泄,引发重大经济损失与声誉风险,立即赶
FreeBuf早报 | Windows内核0Day漏洞遭野外利用提权;虚假NPM软件包窃取GitHub凭证;
1 day ago
全球网安事件速递1. 虚假NPM软件包下载量超20万次,专门窃取GitHub凭证恶意npm包"@acitons/artifact"伪装合法组件,下载超20万次,窃取GitHub令牌攻击组织代码库,凸显软件供应链风险。该包含安装后钩子执行恶意脚本,针对性检测GitHub组织环境。现已被下架,部分安全服务已防护。【