技術分享｜弱點掃描｜資訊安全

01 Aug / 2025

LLM 加速COM物件攻擊技術

探索大型語言模型如何革新進攻性資安研究！深入剖析 COM 物件列舉與 LLM 驅動的攻擊程式碼生成，揭示橫向移動技術的突破，助您掌握資安新趨勢與實用洞察。

02 Aug / 2025

Linux系统中PAM後門Plague

深入解析Linux PAM後門的隱秘威脅！探索其先進混淆技術、認證繞過與持久性策略，了解如何防範此惡意軟體，保護您的Linux系統安全。立即掌握最新資安洞察！

04 Aug / 2025

揭秘 Node.js 框架檔案處理漏洞

深入剖析 Node.js 網頁框架檔案處理漏洞（CVE-2023-XXXX），揭露 FileInterceptor 與 Multer 弱點如何導致 DoS 攻擊，提供技術分析、修補方案與防禦策略，助開發者強化應用程式安全。

05 Aug / 2025

防範 Claude Code漏洞AI攻擊

探索 Claude Code 的 AI 資安漏洞！深入分析 CVE-2025-54794 路徑限制繞過與 CVE-2025-54795 命令注入的危機，揭露 AI 編碼工具的風險，並提供防範策略，助您保護系統安全。

06 Aug / 2025

Kimsuky 惡意腳本與C2策略

Kimsuky APT運作技術分析，深入剖析惡意軟體、混淆技術、社交工程與資料外洩策略，揭露從初始入侵到命令與控制的攻擊鏈，提供資安專業人士實用防禦洞察與威脅情報。

07 Aug / 2025

隱寫術與無檔案300秒入侵攻擊

探索 300 秒內快速入侵！剖析社交工程與 PowerShell 攻擊技術細節，從初始存取到持久性機制，揭露 threat actor 如何用合法工具入侵系統。了解無檔案攻擊與隱寫術，學習強化網路安全防禦策略！

08 Aug / 2025

進階 DCOM 與 RPC 中繼攻擊

探索 RemoteKrbRelayx 的強大功能，深入解析 Kerberos 中繼攻擊與 DCOM/RPC 技術！本報告揭露其架構、程式碼與應用場景，助您掌握網路安全與滲透測試的最新技術。

11 Aug / 2025

AI 助理建構完美的網路攻擊

探索 AI 程式碼助理如何無意中成為網路攻擊藍圖，暴露認證、組織情報與操作模式。本文揭露其隱藏的安全危機，分析對資安的影響，並提出防護建議，助您應對新興威脅。

12 Aug / 2025

URL編碼混淆到Payload隱藏術

探索 Payload 混淆技術的奧秘！從 URL 編碼到 Log4Shell 漏洞攻擊，揭露攻擊者如何巧妙繞過 WAF 與輸入驗證。本文提供資安專家實戰防禦策略，助你有效抵禦惡意攻擊與漏洞利用。

13 Aug / 2025

先進釣魚PoisonSeed 繞過 MFA

深入揭秘 PoisonSeed MFA 釣魚套件的技術分析，剖析其 React 前端架構與 AiTM 攻擊如何繞過多因素認證，提供危害指標與實用防禦策略，助您有效強化網路安全保護。

14 Aug / 2025

AI詐騙的Deepfakes與Bots威脅

探索2025年AI驅動網路釣魚與詐騙新趨勢！從PoC揭示AI如何打造逼真Deepfakes、Malicious Bots與Social Engineering攻擊，到資料採集的精準威脅，本報告剖析進階詐騙技術並提供防禦策略！

15 Aug / 2025

HTTP/2 DoS演進MadeYouReset

探索 HTTP/2 MadeYouReset 漏洞（CVE-2025-8671）如何繞過 Rapid Reset 防護，引發 DoS 攻擊。深入剖析其技術原理與六大攻擊手法，並提供實用防護策略，助你保護伺服器免受新型威脅！

CVE-2025-8671 分析：HTTP/2 DoS 攻擊的下一代演進 MadeYouReset

16 Aug / 2025

UAT-7237對台網路Server戰術

深度解析 UAT-7237 APT 團體如何利用客制化工具與進階技術入侵台灣網路伺服器，揭露其初始存取、偵察、持久性機制及規避策略，提供資安專業人士實用的防禦洞察與應對方法。

18 Aug / 2025

FortiSIEM預認証命令注入攻防

深入剖析 Fortinet FortiSIEM 預認証命令注入漏洞 (CVE-2025-25256)，揭示其技術細節、根本原因及嚴重影響，提供更新策略與最佳實踐，助您強化資安防護，守護企業安全。

Fortinet FortiSIEM 漏洞曝光：預認証命令注入 (CVE-2025-25256) 風險、影響與防禦

19 Aug / 2025

探索Lockbit的Linux ESXi勒索軟體

深入剖析 Lockbit Linux ESXi 勒索軟體，揭露其規避技術、控制流程與 AES 加密機制。從 ptrace 規避到檔案加密，探索其針對 VMware 的複雜攻擊策略。提供資安專業人士實用的逆向工程洞察。

20 Aug / 2025

由Rubocop實現RCE存取百萬儲存庫

探索 CodeRabbit 漏洞如何從簡單 PR 實現 RCE，洩漏環境變數並存取 1M+ GitHub 儲存庫！深入剖析 Rubocop 攻擊技術、API key 外洩風險及沙箱緩解策略，助您防範供應鏈攻擊。

我們如何駭入CodeRabbit：透過Rubocop實現RCE並存取數百萬儲存庫

21 Aug / 2025

從QuirkyLoader原始碼了解偵測規避

為何 QuirkyLoader 難以被偵測？本篇技術分析將帶您了解惡意程式如何透過 .NET Native AOT 和多階段感染鏈躲避傳統防毒軟體，提供有效的偵測與防禦指南。

22 Aug / 2025

Commvault RCE漏洞鏈深度解析

深入解析 Commvault 預先認證 RCE 漏洞鏈，揭露駭客如何利用參數注入與Path Manipulation，無須登入即可遠端操控備份系統。這篇技術報告將帶你了解攻擊路徑與防護措施。

駭客無情利用！Commvault RCE 漏洞鏈技術深度解析，你的備份系統岌岌可危？

23 Aug / 2025

VShell 如何用檔名入侵 Linux

深入解析 VShell 無檔案惡意軟體，揭露其如何利用「檔名武器化」在 Linux 系統中靜默植入 payload。這篇技術分析將帶您看懂駭客如何規避傳統偵測，並提供實用的防禦策略。

靜默感染的真相：VShell 惡意軟體如何用「檔名」入侵 Linux 的多階段技術剖析

25 Aug / 2025

惡意Go模組偽裝SSH竊取認證

Go語言生態系出現新型威脅。這份報告詳細剖析一個惡意模組如何利用開放原始碼，悄悄竊取SSH認證，並經由Telegram exfiltrate。了解其運作手法，保護你的專案。

26 Aug / 2025

Zendesk Android 0-Click 漏洞

駭客的攻擊手法不斷演進，這篇文章將深入解析 Zendesk Android SDK 如何被發現存在 0-click 漏洞。這場驚人的大規模帳號接管事件，對個人與企業資安都敲響了警鐘，讓我們來了解漏洞成因與防範之道。

驚！知名企業也中招？Zendesk Android SDK 0-Click 帳號接管漏洞深度解析

27 Aug / 2025

ONEFLIP如何駭入AI瞄準 DNN

針對全精度 DNN 的 ONEFLIP 攻擊，利用Single-Bit Rowhammer 翻轉注入後門，揭示人工智慧資安漏洞，成功率達99.9%，對正常精度影響僅0.06%，突顯硬體安全危機。

ONEFLIP 如何駭入 AI：One-Bit-Flip 用 Rowhammer 瞄準 DNN

28 Aug / 2025

ZipLine 網路釣魚 MixShell 程式

深度分析 ZipLine 網路釣魚攻擊，揭露它如何反轉傳統手法，利用信任建立長期關係並發動攻擊。本文詳細解析其感染鏈與 MixShell 記憶體惡意軟體的運作原理。

ZipLine 網路釣魚攻擊深度技術分析：揭露隱匿的社交工程與記憶體內惡意程式 MixShell

29 Aug / 2025

AI成駭客代理人，如何防禦？

當 AI 從工具進化為犯罪代理人，網路安全正面臨前所未有的挑戰。本技術分析報告基於真實案例，深入探討 AI 如何降低網路犯罪門檻，並提供一套包含偵測、回應與多層次防禦的完整對策。

30 Aug / 2025

ShadowSilk 竊取企業核心機密

深入解析 ShadowSilk threat cluster的最新攻擊手法。揭露駭客如何運用 PowerShell 與 Telegram 進行隱蔽式資料外洩，並提供資安防禦者必備的 TTPs 與防護建議，守護您的企業機密。