随着网络安全防御体系的日益完善，传统基于漏洞利用（Exploit-based）的攻击模式成本显著上升，攻击者逐渐转向利用人类心理弱点和社会工程学技巧的交互式攻击...

随着网络钓鱼攻击技术的不断迭代，一种名为“ClickFix”的社会工程学攻击手段自2024年出现以来，持续对全球企业信息安全构成严峻挑战。近期，微软安全团队披露...

随着移动通信技术的普及，短消息服务（SMS）已成为政府机构与公众沟通的重要渠道，然而这一信任通道正被网络犯罪分子恶意利用。本文以美国弗吉尼亚州里奇兰兹警察局（R...

近年来，网络攻击呈现出高度组织化、模块化及多阶段化的特征，其中利用社会工程学诱导用户执行恶意代码仍是初始访问的主要途径。本文基于Fortinet FortiGu...

随着数字化转型的深入，二维码（QR Code）作为一种高效的信息交互载体，已广泛渗透至企业办公、身份认证及支付结算等核心业务流程。然而，这一便捷技术的普及也催生...

在数字身份日益绑定于即时通讯工具的今天，一个六位数的短信验证码，可能就是你整个社交圈的“钥匙”。2026年1月初，全球领先的安全意识平台KnowBe4发布紧急警...

2026年初，一场静默却致命的网络攻防战在中东悄然升级。据以色列国家网络安全局（INCD）与本土安全研究机构GBHackers联合披露，伊朗背景的高级持续性威胁...

每年11月下旬，全球消费者的注意力都会被一个词牢牢抓住：“Black Friday”（黑色星期五）。打折、秒杀、限时优惠……商家铆足了劲，消费者摩拳擦掌。然而，...

该PortSwigger实验靶场在博客的评论功能中存在一个存储型XSS漏洞。由于输入内容未经过任何编码或净化处理，评论正文中的任何JavaScript代码都会被...

2025年11月中旬，上海某科技公司市场部员工小林在工位上收到一封邮件，主题是：“您的包裹已到，请扫码取件”。邮件正文简洁，仅附有一张图片——一个黑白相间的二维...

近期，网络安全公司CloudSEK与Cyber Security News披露了一起针对印度政府及私营部门的高级持续性威胁（APT）活动，归因于疑似与中国有关联...

Saad Iqbal开发的“User Avatar - Reloaded”（user-avatar-reloaded）插件中存在“网页生成期间输入处理不当（‘跨...

近年来，网络钓鱼攻击呈现高度专业化与场景化趋势，其中以虚假招聘信息为诱饵、针对社交媒体凭证的大规模钓鱼活动尤为突出。本文聚焦于2024–2025年间由Subli...

近年来，网络钓鱼攻击持续演进，攻击者不断利用文件格式特性规避传统安全检测。2025年，威胁情报平台ANY.RUN披露了一种名为“Tykit”的钓鱼套件，该套件以...

近年来，ClickFix类钓鱼攻击因其高度拟真性和社会工程诱导能力，成为针对企业云办公环境的主要威胁之一。本文基于2025年最新观测数据，系统分析了ClickF...

近年来，随着各国政府为应对经济波动而推出各类财政补贴政策，网络犯罪分子迅速将此类公共福利项目作为社会工程攻击的新目标。2025年，美国纽约州推出的“通胀退税”（...

近年来，持有英国内政部（Home Office）工作签证赞助许可（Sponsor Licence）的企业成为网络钓鱼攻击的高价值目标。攻击者利用英国移民合规体系...

跨站脚本攻击（XSS）是一种极其普遍且持续存在的 Web 安全漏洞。它允许攻击者将恶意的客户端脚本（通常是 JavaScript）注入到受信任的、本身无害的网站...

近年来，高级持续性威胁（APT）组织及网络犯罪团伙不断演进其初始访问手段，其中以多阶段钓鱼攻击为代表的战术尤为突出。FortiGuard实验室近期披露的一起高严...

近年来，随着终端用户对邮件安全意识的提升及企业级邮件网关过滤能力的增强，传统电子邮件钓鱼攻击的转化率持续下降。在此背景下，攻击者开始转向操作系统原生功能作为新型...