Information Gathering

法规碎片化威胁全球网络防御体系

图片来源：chaylek / Shutterstock

来自全球

2025年，钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用，钓鱼攻击的危害性甚至超过以往。

前期信息搜集

主机发现

介绍

伏魔挑战赛是阿里云举办的webshell和恶意脚本免杀比赛，选手需要编写webshell或反弹shell脚本等恶意脚本，绕过伏魔引擎的查杀。每一个不重复的样本都可以获得几百至一千的奖金。规则文档在这里。

上一年因为身

研究人员发现主流浏览器加密货币钱包存在重大安全漏洞，攻击者无需用户任何交互或授权即可窃取资金。

在Stellar Fr

钓鱼攻击威胁持续升级

2025年，钓鱼攻击仍是企业面临的重大安全挑战。随着攻击者越来越多地采用基于身份验证

一、APISandbox靶场说明

https://github.com/API-Security/APISandbox

是一个包含多个场景的API漏洞靶场

目前有以下几个API漏洞场景靶场：

4ASystem: 4A认证系统下的API平行越权

APIVuln: 生产消费流水线中的API缓存投毒

G

一款植入间谍软件的伪造Alpine Quest应用被用于针对俄罗斯军方的Android设备，窃取定位数据、通讯录及敏感文件。

安全研究人员发现，热门Android导航应用Alpine Quest的恶意版本携带针对俄罗斯军人的间谍软件。Doctor Web公司的研究人员揭露，这款被篡改的软件内置Android.Spy.1292.origin间谍程序，可收集

网络安全专家发现一起复杂攻击活动，攻击者利用Cloudflare的隧道基础设施分发多种远程访问木马（RAT）。

该基础

高度复杂的钓鱼攻击手法

安全研究人员发现一种"极其复杂的网络钓鱼攻击"，威胁行为者通过非常规手

三星One UI系统曝出重大安全漏洞，通过剪贴板功能导致数百万用户的敏感信息面临泄露风险。

网络安全研究人员近日发现 WinZip 存在一个高危漏洞（CVE-2025-33028），攻击者可利用该漏洞绕过 Windows

图片来源：SkillUp / Shutterstock

漏洞概述：

微软近日发布了"安全未来计划"(Secure Future Initiative，SFI)的第二份进展报告，这

网络安全渗透手段出现令人担忧的新发展——朝鲜IT工作者开始在远程工作面试中使用复杂的实时深度伪造（deepfake）技术，以此获取

网络安全专家发现了一种利用SVG（可缩放矢量图形）文件格式的新型钓鱼技术，攻击者通过该技术向不知情的受害者投递恶意HTML内容。

1. 集中式硬编码密码

描述

硬编码密码是指将密码、密钥等敏感信息以明文形式直接写入代码中（如Java、Python、C++等语言中的字符串常量），通常是开发阶段为图方便而采用的临时措施。然而，这种做法在代码仓库泄露、反编译、动态调试或日志泄露等场景下极易暴露敏感信息。例如，攻击者可通过