不安全

微软近期因沙特附近海底电缆中断导致云服务受阻。2025年9月6日多条关键海底光缆受损，亚洲、中东与欧洲间网络延迟加剧甚至中断。初步调查显示商船锚链拖拽致电缆断裂，修复可能需数月时间。

文章描述了Reddit因IP地址请求过多而限制访问的情况，并提示用户稍后再试或联系客服解决问题。

当前环境出现异常问题，需完成验证后才能继续访问。

当前环境异常，请完成验证以继续访问。

当前环境出现异常，需完成验证后方可继续访问。

微软针对Microsoft Office中的两个高危漏洞发布补丁，编号为CVE-2025-54910（严重）和CVE-2025-54906（重要）。前者通过预览窗格本地执行代码，后者需用户打开恶意文件。建议立即安装补丁以降低风险。

当前环境异常，请完成验证后继续访问。

当前环境出现异常，需完成验证后才能继续访问。

微软推出Windows 11企业安全功能Zero Trust DNS，默认阻止所有出站连接，仅允许通过受信任DNS服务器或IT管理员配置的可信连接。该功能旨在响应美国政府网络安全行政命令，在不终止TLS情况下保护网络。测试中故意破坏旧应用以推动现代化和安全改进，并可防止钓鱼攻击。Aditi Patange强调基础设施重要性，呼吁组织采用加密DNS替代传统端口53。

当前网络环境出现异常状态，需完成验证后方可继续访问相关内容。

文章探讨了如何在漏洞赏金计划中负责任地界定第三方资产的范围，强调了获得供应商授权、明确界定范围的重要性，并提供了处理漏洞报告和与供应商合作的具体建议。

断链劫持指攻击者利用网站失效链接（如过期域名、停用社交媒体账号）获取控制权，用于篡改网站内容、钓鱼攻击或注入恶意脚本。检测时可点击链接查看是否返回404错误。

作者Swetha分享了自己进入开发、道德黑客和漏洞赏金领域的经历，并强调深入理解SQL的重要性。

AspGoat 是一个基于 ASP.NET Core 的故意漏洞 Web 应用程序，旨在帮助开发者、安全研究员和赏金猎人提升技能。它包含 OWASP Top 10 及其他漏洞的练习，并支持 Docker 快速部署。

文章探讨了包含消息体的GET请求如何导致Web缓存中毒。攻击者利用服务器对这类请求的处理漏洞，在缓存中注入恶意内容，引发跨站脚本（XSS）和基于缓存的攻击。

一位安全研究人员在浏览Freshdesk支持页面时发现了一个DOM-XSS漏洞。通过查看页面源代码，他发现一个脚本直接将API返回的tunnel.host和tunnel.ip拼接到DOM中，存在XSS风险。虽然未造成实际损害，但成功触发了alert(document.domain)。

一个开放的黑客社区，旨在帮助新手成长为资深地下技能专家，提供问答学习平台，并邀请加入Discord群组进行交流。

Claude AI 在 8 月 5 日至 9 月 4 日间出现降智问题，影响多个模型版本。尽管开发者早在 8 月就已反馈问题，但 Anthropic 直到上周才开始调查并修复。公司否认故意限制性能，并表示感谢社区帮助解决问题。然而用户对修复延迟及未提供补偿表示不满。

黑客利用NPM生态系统中的18个流行软件包发起供应链攻击，这些包每周下载量超20亿次。黑客通过钓鱼攻击开发者Josh Junon获取权限，在软件包中植入恶意代码以篡改浏览器事务并窃取加密货币。

Truesec发现网络犯罪分子利用虚假PDF编辑器分发TamperedChef信息窃取恶意软件，并通过谷歌广告推广。该恶意软件通过更新激活信息窃取功能，并诱导用户将其设备注册为住宅代理以牟利。活动涉及50多个域名及虚假证书签名的应用程序。