Cloudflare推出了Client-Side Security Advanced，利用机器学习和大型语言模型增强安全性，减少误报，保护用户免受客户端窃取攻击和恶意脚本的影响。

XSS攻击利用网站漏洞，攻击者通过输入恶意脚本使浏览器执行。文章介绍了不同级别的XSS注入方法及防护措施，如使用htmlspecialchars()函数转义特殊字符，以防止脚本执行。

文章描述了通过攻击链获取信息、爆破数据库和网站后台，最终实现提权至root用户的过程。使用nmap扫描端口，wpscan检查漏洞，尝试爆破和修改文件，最终通过环境变量劫持成功执行恶意脚本。

安全研究团队Socket发现npm仓库遭遇新型供应链攻击，影响40多个软件包。攻击者篡改package.json文件，注入恶意脚本以窃取敏感信息。建议开发者卸载受影响的软件包，审计环境并监控异常活动。

BeEF（浏览器利用框架）是一款开源工具，专注于浏览器渗透测试。它通过劫持用户浏览器实现远程控制和信息窃取，工作流程包括植入恶意脚本、双向通信和模块化攻击。用户可通过Web界面发送指令执行多种攻击。安装可通过Docker或Kali进行，需注意安全设置和兼容性。

用友U8Cloud存在任意文件上传漏洞，攻击者可绕过鉴权上传恶意脚本，影响多个版本。官方已发布修复版本，建议用户尽快升级以确保安全。

阿里云举办的伏魔挑战赛要求选手编写恶意脚本以绕过查杀引擎。今年的查杀引擎在静态分析和行为检测方面有所增强，选手需采用更复杂的手法实现免杀，如自创编程语言和API hammering等技巧。

网络安全研究人员发现多个npm加密货币软件包被劫持，恶意脚本窃取敏感信息。攻击者可能通过入侵维护者账户或接管过期域名实施攻击，强调了供应链安全和双因素认证的重要性。

2025年2月20日，超过3.5万个网站遭到网络攻击，攻击者通过植入恶意脚本劫持用户浏览器并重定向至中文赌博平台。攻击利用设备检测和全屏覆盖技术，阻止用户访问原网站。安全专家建议网站所有者定期检查源代码并使用防火墙屏蔽恶意域名，以防止类似攻击。

跨站脚本攻击（XSS）是一种注入攻击，攻击者将恶意脚本插入网页，用户访问时执行。xss-labs是一个学习XSS的靶场，通过逐关挑战，学习者需掌握各种payload技巧以绕过不同的过滤机制。

微软VSCode的远程隧道功能被攻击者利用，绕过安全措施部署恶意脚本，可能在用户不知情的情况下安装VSCode CLI，窃取数据并传播恶意软件。建议企业限制员工使用远程隧道以防滥用。

黑莓公司数据在暗网上被出售，黑客掌握了34万亿封电子邮件。纽约时报遭遇重大数据泄露，乌克兰警方逮捕了Conti和LockBit勒索软件开发人员。英国和加拿大调查了23andMe的数据泄露事件。Microsoft推出了网络安全计划以应对攻击。网络钓鱼电子邮件滥用Windows搜索协议推送恶意脚本。AWS增加了密钥支持，谷歌警告Pixel固件零日漏洞。Microsoft发布了针对51个漏洞的补丁。Medusa勒索软件组织声称对美国和加拿大组织发起网络攻击。暗网黑客销售Google子域名漏洞。

自2023年4月以来，WinRAR压缩软件中的一个最近修补的安全漏洞被利用为零日漏洞。攻击者通过伪装成无害的压缩包中的图像或文本文件来启动恶意脚本。修补程序已发布，但攻击已在多个交易论坛上传播。攻击者从经纪人账户中提取资金，受害者总人数和经济损失尚不清楚。攻击并不针对特定国家或行业。