月度归档： 2025 年 1 月

Pwn2Own Automotive 2025落幕，累计成功利用49个零日漏洞 Zicheng FreeBuf 2025-01-26 10:49 为期3天的Pwn2Own Automotive 2025 黑客竞赛已于1月24日在东京结束，安全研究人员在成功利用 49 个零日漏洞后累计获得了将近90万美元奖金。 比赛期间，参赛选手以汽车软件和产品为目标，对包括电动汽车 （EV） 充电器、汽车操作系统

【InForSec 2025年会顶会论文回顾】刘沛宇：探究 ChatGPT 在漏洞管理任务中的能力 网安国际 2025-01-26 10:36 来自浙江大学专职研究员刘沛宇分享了ChatGPT在漏洞管理任务中的能力。漏洞管理的生命周期包含了漏洞发现、漏洞确认与评估及漏洞修复与确认等阶段，而现存许多研究仅尝试在其中部分流程使用大模型。他们发现，ChatGPT 在处理多项漏洞管理任务时表现出色的能力，

携程SRC漏洞贡献值排行榜奖励揭晓 CSRC 携程安全应急响应中心 2025-01-26 05:19 春 节 快 乐 SPRING FESTIVAL 携程SRC向所有倾心技术、捍卫安全的白帽勇士们致以诚挚的谢意，感谢你们长久以来对携程SRC的持续关注与鼎力支持。                                  此刻，即将揭晓携程SRC2024年度白帽子荣誉榜单，这份荣耀，专属于你

航空防务公司Stark被曝遭遇勒索攻击，4TB机密数据疑被窃取；华硕意外泄露AMD处理器漏洞，补丁被提前公开 | 牛览 安全牛 2025-01-26 03:26 点击蓝字·关注我们  /  aqniu 新闻速览 国家密码管理局废止、宣布失效部分行政规范性文件 PayPal因安全措施不力被罚200万美元 华硕意外泄露AMD处理器漏洞，补丁被提前公开 LinkedIn 被控滥用用户数据训练AI模型 S

子域名劫持漏洞高阶利用：从发现到利用完整攻略 原创 VlangCN HW安全之路 2025-01-26 03:14 子域名劫持是一种严重的安全漏洞，攻击者通过利用 DNS 设置中的错误配置来接管子域名。这类攻击可能导致钓鱼攻击 、数据泄露 或恶意跳转 ，对目标组织的声誉和安全性造成重大影响。对于渗透测试人员和漏洞赏金猎人而言，子域名劫持是一项高价值的技能。本文将通过实用技术、多样工具和真实案例，带

斯巴鲁惊爆高危漏洞：仅凭车牌即可劫持车辆 GoUpSec 2025-01-26 02:04 图片：Jakob Rosen 只需一张车牌号，黑客就能远程操控你的斯巴鲁汽车——这不是科幻电影桥段，而是真实存在的安全漏洞。 近日，漏洞赏金猎人Sam Curry与研究伙伴Shubham Shah在斯巴鲁的Starlink车联网服务中发现一个“任意账户接管”高危漏洞，攻击者可借此劫持美国、加拿大、日本三国的

一款免费的APP IOS抓包工具 支持Flutter应用抓包|漏洞探测 wanghongenpin 菜鸟学信安 2025-01-26 00:30 工具介绍  ProxyPin 是一款免费开源的跨平台抓包工具，支持 Windows、Mac、Android、iOS 和 Linux。它可以拦截、检查并重写 HTTP(S) 流量，同时支持 Flutter 应用抓包。核心功能包括扫码连接设备、域名过滤、请求

渗透技巧 | 小白都能会的通用漏洞挖掘技巧 sec0nd安全 2025-01-25 23:28

【InForSec 2025年会青年学者论坛回顾】刁文瑞：移动生态安全探索：从系统漏洞到大规模测量 网安国际 2025-01-25 10:50 来自山东大学网络空间安全学院教授、博士生导师刁文瑞老师以《移动生态安全探索：从系统漏洞到大规模测量》为主题，分享了其团队在移动与物联网安全领域的研究进展与成果。报告聚焦于移动操作系统漏洞挖掘与大规模移动应用安全测量两大方向。 在移动操作系统安全方面，刁老师

知名车企漏洞：只需车牌号，就能远程监控劫持数百万辆车 网络安全与人工智能研究中心 2025-01-25 05:21 攻击者可以利用最基本的车主信息，访问斯巴鲁汽车星链管理系统，进行定位或远程操作。 安全内参1月24日消息，安全研究员Sam Curry和Shubham Shah发现了斯巴鲁（Subaru）汽车星链管理系统中的一个漏洞。通过该漏洞，攻击者仅凭借基本的客户信息，如姓氏、邮政编码、电子邮件