本期防御安全播客讨论了LameHug恶意软件利用AI实时生成Windows数据窃取命令、黑客通过DNS记录隐藏恶意软件、SonicWall设备零日攻击及CrushFTP零日漏洞等多个网络安全威胁。
本文详细介绍了如何绕过PDF和图片文件上传限制,通过精心构造JSON格式的有效载荷来利用客户端路径遍历漏洞。文章涵盖了多种验证库的绕过技术,包括mmmagic、pdflib、file命令和file-type库的实际案例。
本文深入浅出地解析了基于竞态条件漏洞的2FA绕过技术,通过咖啡店排队的有趣比喻揭示了这一复杂安全漏洞的工作原理,帮助读者理解如何通过时序问题突破双因子认证保护。
本文介绍了STAR Labs举办的2025年夏季漏洞挖掘挑战赛,聚焦于Linux gzip工具中的漏洞利用,要求参与者编写恶意载荷实现代码执行,包含挑战规则、奖品设置和技术要求等详细内容。
2025年网络钓鱼已成为勒索软件主要入侵途径,占比从25%升至35%。文章深入分析钓鱼即服务、AI增强攻击技术及身份优先防御策略,帮助企业应对日益复杂的网络威胁。
微软安全团队通过一个"可能的网页木马安装"警报,发现攻击者利用未修复的SharePoint漏洞和身份凭证泄露入侵零售企业网络。文章详细分析了攻击链、微软事件响应团队(DART)的处置过程,并提供了加固防御的具体建议。
本文介绍了利用模板实现漏洞利用生成自动化的方法,重点讨论了如何通过SHRIKE引擎解析模板并自动解决堆布局问题,从而简化漏洞开发过程并提高效率。文章包含具体的技术实现细节和实际案例。
本文详细记录了设计师如何将个人作品集演变为互动项目平台的技术实现过程,涵盖Nuxt.js框架选择、p5.js与Three.js性能对比、CSS网格布局实现瀑布流等前端开发实践,展示了创意编程与Web开发的完美结合。
本文深入解析HTTP请求走私攻击技术原理,包含James Kettle的专家访谈、技术架构解析和实战演示,详细讲解HTTP协议解析差异导致的请求走私漏洞及其在Web安全中的应用场景。
本文揭示了成为真正黑客所需的核心技能与工具,强调黑客精神在于好奇心、持久力和逻辑思维,而非华丽的硬件设备。从Kali Linux安装实战到必备工具推荐,为初学者提供实用指导。