[
    {
        "title": "【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱",
        "link": "https://www.freebuf.com/vuls/419097.html",
        "description": "网络安全并不是我的最终梦想职业，只是梦想职业的其中一个技能点。",
        "body": "<h2 id=\"h2-1\">致谢</h2><p>我是Feng Jiaming，公开别名 Sugobet/M1n9K1n9，来自中国广东工贸职业技术学院的在校学生。</p><p>I'm Feng Jiaming, my public alias Sugobet/M1n9K1n9, a student from Guangdong Polytechnic of Industry and Commerc",
        "category": "漏洞",
        "pubDate": "Sun, 05 Jan 2025 13:35:19 +0800"
    },
    {
        "title": "都在给网安泼冷水，我来给网安泼盆开水",
        "link": "https://www.freebuf.com/articles/neopoints/419094.html",
        "description": "契机今天看到一篇文章契机今天看到一篇文章让我有了估算大黑阔赚钱能力的灵感。给网安行业泼盆开水！",
        "body": "<h2 id=\"h2-1\"><strong>契机</strong></h2><p style=\"text-align:center;\">今天看到一篇文章让我有了估算大黑阔赚钱能力的灵感。给网安行业泼盆开水！<br /><img src=\"https://image.3001.net/images/20250105/1736053407_677a129f75ed5e9a02268.png!small",
        "category": "观点",
        "pubDate": "Sun, 05 Jan 2025 13:14:47 +0800"
    },
    {
        "title": "盘点万亿市值的Palantir在2024年拿下的至少87亿的美军合同都是啥",
        "link": "https://www.freebuf.com/articles/neopoints/419073.html",
        "description": "仅2024年一年，该公司与美国军方的合同额就高达12亿美元（约合人民币87.8亿元）。",
        "body": "<p style=\"text-align:center;\">近日，美国科技公司Palantir宣布，美国陆军已授予Palantir一份价值4.007亿美元（约合人民币29亿元）的合同。近年来，Palantir持续获得美国军方的青睐，公开信息显示，仅2024年一年，该公司与美国军方的合同额就高达12亿美元（约合人民币87.8亿元）。目前，Palantir的大部分收入都来自于美国政府和军事部门。<br",
        "category": "观点",
        "pubDate": "Sat, 04 Jan 2025 14:01:04 +0800"
    },
    {
        "title": "一周网安优质PDF资源推荐丨FreeBuf知识大陆",
        "link": "https://www.freebuf.com/articles/419042.html",
        "description": "我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。",
        "body": "<p>各位读者周末好，以下是本周「FreeBuf知识大陆一周优质资源推荐」，我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。</p><p><img src=\"https://image.3001.net/images/20250103/1735891639_67779ab73e8d0be0fdbae.png!small\" alt=\"\" /></p><h2 id=\"h2-1\">笔记",
        "pubDate": "Fri, 03 Jan 2025 16:22:28 +0800"
    },
    {
        "title": "FreeBuf周报 | 超过300万台未加密的邮件服务器暴露；WPA3协议存在安全漏洞",
        "link": "https://www.freebuf.com/news/419036.html",
        "description": "总结推荐本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！",
        "body": "<p>各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！<img style=\"border-width:0px;line-height:inherit;max-width:635px;height:auto;\" src=\"https://image.3001.net/images/202209",
        "category": "资讯",
        "pubDate": "Fri, 03 Jan 2025 15:56:46 +0800"
    },
    {
        "title": "Agneyastra：一款Firebase 错误配置检测工具包",
        "link": "https://www.freebuf.com/sectool/419006.html",
        "description": "Agneyastra是一款功能强大的错误配置检测工具，可以帮助广大研究人员更好地保障Firebase平台的安全。",
        "body": "<h2 id=\"h2-1\">关于Agneyastra</h2><p>Agneyastra是一款功能强大的错误配置检测工具，该工具主要针对的是Firebase平台，可以帮助广大研究人员更好地保障Firebase平台的安全。</p><p><img src=\"https://image.3001.net/images/20250103/1735881390_677772aecfdd43a52c23b.p",
        "category": "工具",
        "pubDate": "Fri, 03 Jan 2025 13:21:19 +0800"
    },
    {
        "title": "Exposor：一款基于互联网搜索引擎实现的统一语法网络侦查工具",
        "link": "https://www.freebuf.com/sectool/419004.html",
        "description": "Exposor是一款功能强大的网络侦查工具，支持广大研究人员使用统一语法来检测网络中的安全威胁。",
        "body": "<h2 id=\"h2-1\">关于Exposor</h2><p>Exposor是一款功能强大的网络侦查工具，该工具基于互联网搜索引擎实现其功能，支持广大研究人员使用统一语法来检测网络中的安全威胁。</p><p><img src=\"https://image.3001.net/images/20250103/1735880146_67776dd204e38df0c1826.png!small\" wid",
        "category": "工具",
        "pubDate": "Fri, 03 Jan 2025 12:58:29 +0800"
    },
    {
        "title": "日本最大的移动运营商因DDoS攻击导致服务中断",
        "link": "https://www.freebuf.com/news/418992.html",
        "description": "NTT Docomo当地时间1月2日表示，一次DDoS网络攻击导致运营中断，网站和一些服务在宕机大半天后才逐渐恢复。",
        "body": "<p>日本最大的移动运营商 NTT Docomo Inc. 当地时间1月2日表示，一次分布式拒绝服务 （DDoS） 网络攻击导致运营中断，网站和一些服务在宕机大半天后才逐渐恢复。</p><p><img src=\"https://image.3001.net/images/20250103/1735874913_677759613048fcfd644c0.png!small\" width=\"690\"",
        "category": "资讯",
        "pubDate": "Fri, 03 Jan 2025 11:26:47 +0800"
    },
    {
        "title": "用户集体起诉Siri“偷听”",
        "link": "https://www.freebuf.com/news/418989.html",
        "description": "苹果公司同意支付9500万美元现金，以和解一项拟议的集体诉讼，该诉讼声称其Siri语音助手侵犯了用户的隐私。",
        "body": "<p>1月3日消息，科技巨头苹果公司同意支付9500万美元现金，以和解一项拟议的集体诉讼，该诉讼声称其Siri语音助手侵犯了用户的隐私。这份和解协议涵盖了2014年9月17日至2024年12月31日期间使用Siri的美国用户，涉及数千万人。</p><p>每位参与诉讼的用户最多可为5台Siri设备申请赔偿，每台设备最高可获得20美元。此外，苹果公司需在六个月内永久删除2019年10月前收集的Siri",
        "category": "资讯",
        "pubDate": "Fri, 03 Jan 2025 11:17:16 +0800"
    },
    {
        "title": "黑客滥用AWS泄露的信息进行云狩猎",
        "link": "https://www.freebuf.com/news/418985.html",
        "description": "名为“EC2 Grouper”的黑客组织，近年来一直在利用AWS工具以及泄露的凭证对云环境展开狩猎型攻击。",
        "body": "<p>名为“EC2 Grouper”的黑客组织，近年来一直在利用AWS工具以及泄露的凭证对云环境展开狩猎型攻击。在过去的数年里，这个相当活跃的威胁行为主体在数十个客户环境中被发现，这使其成为网络安全专家追踪的最活跃的组织之一。</p><p><img src=\"https://image.3001.net/images/20250103/1735874034_677755f204ca51a03dc1",
        "category": "资讯",
        "pubDate": "Fri, 03 Jan 2025 11:10:50 +0800"
    },
    {
        "title": "超过300万台未加密的邮件服务器暴露",
        "link": "https://www.freebuf.com/news/418975.html",
        "description": "超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上，容易受到网络嗅探攻击。",
        "body": "<p>目前，超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上，容易受到网络嗅探攻击。</p><p>IMAP和POP3是访问邮件服务器上邮件的两种方式。IMAP适用于从多个设备（如手机和笔记本电脑）查看邮件，因为它会将邮件保留在服务器上并在设备间同步。而POP3则会将邮件从服务器下载，使其仅能从下载的设备访问。</p><p><img src=\"https://image.3",
        "category": "资讯",
        "pubDate": "Fri, 03 Jan 2025 10:22:53 +0800"
    },
    {
        "title": "CertiK Hack3D： Web3.0 年度安全报告（2024）",
        "link": "https://www.freebuf.com/articles/paper/418966.html",
        "description": "2024年Web3.0领域因安全事件导致的总损失超过23.63亿美元，同比增幅达31.61%。全年共发生760起安全事件，其中网络钓鱼和私钥泄露是两大主要攻击手段。",
        "body": "<p><img src=\"https://image.3001.net/images/20250102/1735830965_6776adb5bccea4626f7a7.jpg!small\" alt=\"2024Web3.0 安全年度报告 (1).jpg\" /></p><h1><strong>摘要</strong></h1><ul><li><p>2024年，Web3.0行业共发生760起链上安全事件",
        "category": "安全报告",
        "pubDate": "Thu, 02 Jan 2025 23:16:05 +0800"
    },
    {
        "title": "shiro-core 框架分析",
        "link": "https://www.freebuf.com/articles/web/413356.html",
        "description": "shiro-core 框架分析",
        "body": "<h1>shiro-core</h1><p>本篇文章只阐述最核心内容，从整体描述shiro-core，目的是能在研究shiro的漏洞时有一个全局观，因此不可能涉及全部细节。</p><ul><li><p><a href=\"https://shiro.apache.org/introduction.html\">Introduction to Apache Shiro | Apache Shiro</a",
        "category": "Web安全",
        "pubDate": "Thu, 02 Jan 2025 20:40:16 +0800"
    },
    {
        "title": "FreeBuf早报 | 作者辟谣7-Zip存零日漏洞；法国多地网站遭遇黑客攻击",
        "link": "https://www.freebuf.com/news/418936.html",
        "description": "12月31日，法国多个城镇和省份的网站无法访问。此前，一个黑客团体声称发动网络攻击，以报复法国支持乌克兰。",
        "body": "<h2 id=\"h2-1\">全球动态</h2><h3 id=\"h3-1\">1. 美财政部称遭到“中国政府支持的黑客”攻击，中方回应</h3><p>中方一贯反对各种形式的黑客攻击，更反对出于政治目的散布针对中国的虚假信息。 【<a href=\"http://usa.people.com.cn/n1/2025/0102/c241376-40394097.html\"><u>阅读原文</u></a>】</",
        "category": "资讯",
        "pubDate": "Thu, 02 Jan 2025 15:45:09 +0800"
    },
    {
        "title": "分享OAuth2.0原理及漏洞挖掘技巧案例分析",
        "link": "https://www.freebuf.com/vuls/418923.html",
        "description": "这篇文章主要是从一个简单的案例来开头，然后后面讲OAuth2.0原理以及相关的一些相关知识。",
        "body": "<h2 id=\"h2-1\">0x1 前言</h2><h3 id=\"h3-1\">一、浅谈</h3><p>不知道师傅们平常有没有碰到就是在登录比如说百度时，登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微信)登录的情况，而这种大多数都是使用OAuth 2.0框架构建的。</p><p>然而再挖掘SRC的过程中，在听别的师傅讲课听到关于这方面的只是，这次特地来学习OAuth2.0原理及漏洞挖掘技",
        "category": "漏洞",
        "pubDate": "Thu, 02 Jan 2025 13:40:21 +0800"
    },
    {
        "title": "新的“DoubleClickjacking”漏洞可绕过网站的劫持保护",
        "link": "https://www.freebuf.com/news/418913.html",
        "description": "该漏洞通过利用双击操作来推动点击劫持攻击及账户接管，几乎波及所有大型网站。",
        "body": "<p>安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”，该漏洞通过利用双击操作来推动点击劫持攻击及账户接管，几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。</p><p><img src=\"https://image.3001.net/images/20250102/1735789931_67760d6b5512ab30e8",
        "category": "资讯",
        "pubDate": "Thu, 02 Jan 2025 11:46:14 +0800"
    },
    {
        "title": "至少35个Chrome扩展被劫持，新细节揭示了黑客的攻击手法",
        "link": "https://www.freebuf.com/news/418912.html",
        "description": "近期，黑客针对多个Chrome扩展程序进行了攻击，数十万用户受到影响。随着调查的深入，一些攻击活动细节也得到了披露。",
        "body": "<p>据BleepingComputer消息，近期，黑客针对多个Chrome扩展程序进行了攻击，数十万用户受到影响。随着调查的深入，一些攻击活动细节也得到了披露。</p><p>根据最新调查，攻击导致至少 35 个扩展程序被植入数据窃取代码，较之前的初步怀疑数量直接翻倍，其中包括来自网络安全公司 Cyberhaven 的扩展。尽管最初的报道集中在 Cyberhaven 的安全扩展上，但随后的调查显示",
        "category": "资讯",
        "pubDate": "Thu, 02 Jan 2025 11:41:04 +0800"
    },
    {
        "title": "Windows 曝9.8分漏洞，已有PoC及利用情况",
        "link": "https://www.freebuf.com/news/418909.html",
        "description": "CVE - 2024 - 49112属于远程代码执行（RCE）漏洞，会对包括域控制器（DC）在内的Windows服务器产生影响。",
        "body": "<p>SafeBreach Labs的研究人员发布了关于Windows轻量级目录访问协议（LDAP）的一个关键漏洞的概念验证（PoC）和漏洞利用方法，该漏洞编号为CVE - 2024 - 49112。微软在2024年12月10日的补丁星期二更新中披露了此漏洞，其CVSS严重性评分高达9.8。</p><p>CVE - 2024 - 49112属于远程代码执行（RCE）漏洞，会对包括域控制器（DC）在",
        "category": "资讯",
        "pubDate": "Thu, 02 Jan 2025 11:29:58 +0800"
    },
    {
        "title": "记一次CNVD证书的挖掘方式",
        "link": "https://www.freebuf.com/articles/web/418887.html",
        "description": "越权漏洞，用户能够修改或访问其他用户（包括管理员）的数据或权限。",
        "body": "<h2 id=\"h2-1\">漏洞挖掘背景</h2><p>在Fofa上随便逛逛 突然看到了某某系统 好奇就点了进去</p><h2 id=\"h2-2\">漏洞发现与利用步骤</h2><p><img src=\"https://image.3001.net/images/20250101/1735726269_677514bde6b4ee044cf72.png!small?1735726271056\" al",
        "category": "Web安全",
        "pubDate": "Wed, 01 Jan 2025 18:33:17 +0800"
    },
    {
        "title": "漏洞分析 | Apache Struts文件上传漏洞（CVE-2024-53677）",
        "link": "https://www.freebuf.com/vuls/418881.html",
        "description": "目前该漏洞POC状态已在互联网公开",
        "body": "<h2 id=\"h2-1\">漏洞概述</h2><p>Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架。</p><p>近期，网宿安全演武实验室监测到Apache Struts在特定条件下，存在文件上传漏洞（网宿评分：高危、CVSS 3.0 评分：8.1）：</p><p>攻击者可以操纵文件上传参数来实现路径遍历，在某些",
        "category": "漏洞",
        "pubDate": "Tue, 31 Dec 2024 19:47:46 +0800"
    }
]