该PortSwigger实验靶场在博客的评论功能中存在一个存储型XSS漏洞。由于输入内容未经过任何编码或净化处理，评论正文中的任何JavaScript代码都会被...

2025年11月中旬，上海某科技公司市场部员工小林在工位上收到一封邮件，主题是：“您的包裹已到，请扫码取件”。邮件正文简洁，仅附有一张图片——一个黑白相间的二维...

近期，网络安全公司CloudSEK与Cyber Security News披露了一起针对印度政府及私营部门的高级持续性威胁（APT）活动，归因于疑似与中国有关联...

Saad Iqbal开发的“User Avatar - Reloaded”（user-avatar-reloaded）插件中存在“网页生成期间输入处理不当（‘跨...

近年来，网络钓鱼攻击呈现高度专业化与场景化趋势，其中以虚假招聘信息为诱饵、针对社交媒体凭证的大规模钓鱼活动尤为突出。本文聚焦于2024–2025年间由Subli...

近年来，网络钓鱼攻击持续演进，攻击者不断利用文件格式特性规避传统安全检测。2025年，威胁情报平台ANY.RUN披露了一种名为“Tykit”的钓鱼套件，该套件以...

近年来，ClickFix类钓鱼攻击因其高度拟真性和社会工程诱导能力，成为针对企业云办公环境的主要威胁之一。本文基于2025年最新观测数据，系统分析了ClickF...

近年来，随着各国政府为应对经济波动而推出各类财政补贴政策，网络犯罪分子迅速将此类公共福利项目作为社会工程攻击的新目标。2025年，美国纽约州推出的“通胀退税”（...

近年来，持有英国内政部（Home Office）工作签证赞助许可（Sponsor Licence）的企业成为网络钓鱼攻击的高价值目标。攻击者利用英国移民合规体系...

跨站脚本攻击（XSS）是一种极其普遍且持续存在的 Web 安全漏洞。它允许攻击者将恶意的客户端脚本（通常是 JavaScript）注入到受信任的、本身无害的网站...

近年来，高级持续性威胁（APT）组织及网络犯罪团伙不断演进其初始访问手段，其中以多阶段钓鱼攻击为代表的战术尤为突出。FortiGuard实验室近期披露的一起高严...

近年来，随着终端用户对邮件安全意识的提升及企业级邮件网关过滤能力的增强，传统电子邮件钓鱼攻击的转化率持续下降。在此背景下，攻击者开始转向操作系统原生功能作为新型...

近年来，随着企业数字化转型加速及云原生架构普及，攻击者对身份凭证的依赖程度显著上升。思科最新全球威胁态势报告指出，凭证窃取已连续多个周期稳居初始入侵矢量首位，其...

近年来，钓鱼邮件攻击呈现出显著的工业化特征，其技术手段、组织模式与攻击效率已发生结构性转变。本文基于对2024—2025年全球典型钓鱼事件的技术分析，系统梳理了...

FIDO（Fast Identity Online）标准通过公私钥密码学机制有效抵御传统凭据钓鱼攻击，已成为现代身份认证体系的核心支柱。然而，近期安全研究揭示了...

近年来，教育行业因其高度数字化、分散化管理及相对薄弱的网络安全防护能力，日益成为网络犯罪分子的重点目标。2025年7月，美国教育部下属的G5拨款门户遭遇大规模网...

近年来，随着企业对云办公平台依赖程度的加深，攻击者不断探索利用合法云服务功能实施高级社会工程攻击的新路径。2025年，安全研究机构披露了一类针对Microsof...

近年来，高级持续性威胁（APT）组织日益倾向于采用高度定制化的鱼叉式钓鱼攻击，以渗透高价值目标。2025年7月披露的一起新型攻击事件中，攻击者利用精心构造的金融...

2024年，比利时因网络钓鱼诈骗造成的直接经济损失高达4900万欧元，凸显该类犯罪对国家金融安全与社会稳定的严重威胁。本文基于比利时银行联合会（Febelfin...

2025年，Google威胁情报团队披露了名为UNC3944的高级威胁组织针对美国多个关键行业的系统性勒索软件攻击。该组织摒弃传统漏洞利用路径，转而采用以语音钓...