FreeBuf互联网安全新媒体平台

根据 Telegram 最新的透明度报告，该平台与警方的合作自 9 月以来出现了爆炸式增长。

再一次向那些曾经声名显赫、但现在已经失去作用的网络安全解决方案致敬。

2024年软件系统安全赛攻防赛web题CachedVisitor题解

过年前来了这么个事，简单记录下

shiro 721：填充攻击，在未知密钥的情况下构造出payload的密文，从而导致反序列化（shiro 550)

2025年，网络安全形势需要谨慎平衡强大的防御机制和灵活的适应能力。

在Redis里发现了两个严重漏洞，这可能使数百万系统面临DoS攻击和RCE的风险。

shiro密钥爆破，应对[shiro 1.2.4]cve-2016-4437 修复后的版本，讨论了两种回显方法

shiro-web 路径绕过

shiro CVE-2016-6802 路径绕过/越权

近日，美国CDN巨头Akamai（阿卡迈）在致客户的一封信中宣布将于2026年6月30日停止在中国的服务。

因为Python包安装过程方面的严重失误，AWS在过去四年中通过其 Neuron SDK 三次引入了相同的远程代码执行漏洞。

近日，网上发布了一个针对Windows轻量级目录访问协议（LDAP）安全漏洞的概念验证（PoC）漏洞利用程序。

讲述了shiro-web CVE-2016-4437的成因,利用和修复，以及在不依赖cc的情况下的cb链用法；模块限制等

国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。

为了提高代码的复用性和模块化，开发人员通常会将可重复使用的函数或代码段写入到单个文件中。

shiro-web 框架分析

一种名为PLAYFULGHOST的新恶意软件具有多种信息收集功能，例如键盘记录、屏幕捕获、音频捕获、远程 shell 以及文件传输/执行。

据gbhackers消息，名为LegionLoader 的恶意软件正通过Chrome 扩展分发窃密软件，包括对受害者实施电子邮件操纵、跟踪浏览，甚至将受感染的浏览器转变为攻击者的代理服务器，使其能够使用受害者的凭证浏览网页。自 2024 年 8 月以来，研究人员观察到LegionLoader 通过 Chrome 扩展程序分发各种窃取程序，包括 LummaC2、Rhadamanthys 和 Stea

研究人员发现，有大量的恶意npm软件包冒充以太坊开发者使用的Hardhat开发环境，正在窃取私钥和其他敏感数据。