在数字身份日益绑定于即时通讯工具的今天，一个六位数的短信验证码，可能就是你整个社交圈的“钥匙”。2026年1月初，全球领先的安全意识平台KnowBe4发布紧急警...

2026年初，一场静默却致命的网络攻防战在中东悄然升级。据以色列国家网络安全局（INCD）与本土安全研究机构GBHackers联合披露，伊朗背景的高级持续性威胁...

每年11月下旬，全球消费者的注意力都会被一个词牢牢抓住：“Black Friday”（黑色星期五）。打折、秒杀、限时优惠……商家铆足了劲，消费者摩拳擦掌。然而，...

该PortSwigger实验靶场在博客的评论功能中存在一个存储型XSS漏洞。由于输入内容未经过任何编码或净化处理，评论正文中的任何JavaScript代码都会被...

2025年11月中旬，上海某科技公司市场部员工小林在工位上收到一封邮件，主题是：“您的包裹已到，请扫码取件”。邮件正文简洁，仅附有一张图片——一个黑白相间的二维...

近期，网络安全公司CloudSEK与Cyber Security News披露了一起针对印度政府及私营部门的高级持续性威胁（APT）活动，归因于疑似与中国有关联...

Saad Iqbal开发的“User Avatar - Reloaded”（user-avatar-reloaded）插件中存在“网页生成期间输入处理不当（‘跨...

近年来，网络钓鱼攻击呈现高度专业化与场景化趋势，其中以虚假招聘信息为诱饵、针对社交媒体凭证的大规模钓鱼活动尤为突出。本文聚焦于2024–2025年间由Subli...

近年来，网络钓鱼攻击持续演进，攻击者不断利用文件格式特性规避传统安全检测。2025年，威胁情报平台ANY.RUN披露了一种名为“Tykit”的钓鱼套件，该套件以...

近年来，ClickFix类钓鱼攻击因其高度拟真性和社会工程诱导能力，成为针对企业云办公环境的主要威胁之一。本文基于2025年最新观测数据，系统分析了ClickF...

近年来，随着各国政府为应对经济波动而推出各类财政补贴政策，网络犯罪分子迅速将此类公共福利项目作为社会工程攻击的新目标。2025年，美国纽约州推出的“通胀退税”（...

近年来，持有英国内政部（Home Office）工作签证赞助许可（Sponsor Licence）的企业成为网络钓鱼攻击的高价值目标。攻击者利用英国移民合规体系...

跨站脚本攻击（XSS）是一种极其普遍且持续存在的 Web 安全漏洞。它允许攻击者将恶意的客户端脚本（通常是 JavaScript）注入到受信任的、本身无害的网站...

近年来，高级持续性威胁（APT）组织及网络犯罪团伙不断演进其初始访问手段，其中以多阶段钓鱼攻击为代表的战术尤为突出。FortiGuard实验室近期披露的一起高严...

近年来，随着终端用户对邮件安全意识的提升及企业级邮件网关过滤能力的增强，传统电子邮件钓鱼攻击的转化率持续下降。在此背景下，攻击者开始转向操作系统原生功能作为新型...

近年来，随着企业数字化转型加速及云原生架构普及，攻击者对身份凭证的依赖程度显著上升。思科最新全球威胁态势报告指出，凭证窃取已连续多个周期稳居初始入侵矢量首位，其...

近年来，钓鱼邮件攻击呈现出显著的工业化特征，其技术手段、组织模式与攻击效率已发生结构性转变。本文基于对2024—2025年全球典型钓鱼事件的技术分析，系统梳理了...

FIDO（Fast Identity Online）标准通过公私钥密码学机制有效抵御传统凭据钓鱼攻击，已成为现代身份认证体系的核心支柱。然而，近期安全研究揭示了...

近年来，教育行业因其高度数字化、分散化管理及相对薄弱的网络安全防护能力，日益成为网络犯罪分子的重点目标。2025年7月，美国教育部下属的G5拨款门户遭遇大规模网...

近年来，随着企业对云办公平台依赖程度的加深，攻击者不断探索利用合法云服务功能实施高级社会工程攻击的新路径。2025年，安全研究机构披露了一类针对Microsof...