本文探討軟體供應鏈安全中 SBOM、CBOM 與 AIBOM 的演進。SBOM 提供應用程式元件清單，CBOM 聚焦容器內部組件，而 AIBOM 則追蹤 AI 模型、訓練資料與推論演算法。缺乏完整的 BOM 會導致漏洞掃描不準確，影響風險評估。AIoT 及智慧製造場景中，AIBOM 對於合規性與可靠性至關重要。…

CVE-2025-13223 是 Chrome 瀏覽器 Blink 渲染引擎中 CSS 解析器的一個緩衝區溢出漏洞。攻擊者可利用此漏洞，通過構造包含特定 CSS 屬性（如過大的 `width` 值）的惡意網頁，觸發 `CSSPropertyParser` 模組在處理 `::before` / `::after` 偽元素…

本文分析了 BIND DNS 伺服器的安全隱患與攻擊手法，涵蓋緩存中毒、DoS、放大攻擊、區域傳輸漏洞及授權缺陷等，並針對其技術實作、風險評估與防禦策略進行深入討論。…

本文分析Ransomware-as-a-Service（RaaS）的商業模式、2024年全球增幅超40%以及典型攻擊流程：入侵、加密、勒索與支付。說明RaaS降低技術門檻，對雲端與IoT環境構成新風險，並列出主要技術手段與風險評估框架。…

近期 Cl0p、LockBit 4.0 與 BlackCat 勒索軟體攻擊持續進化。Cl0p 利用竊取的憑證觸發加密；LockBit 4.0 升級網路檢測程式提升執行成功率；BlackCat 則採用「ShieldSpeak」小工具減少警報。三者普遍使用「累進式權限提升」策略，並利用漏洞與工具獲取域控制器訪問權限。Cl0…

勒索軟體供應鏈攻擊是指攻擊者透過滲透供應商的開發或發佈流程，將惡意程式植入合法產品，藉以擴大攻擊範圍並提高隱蔽性。常見方式包含惡意插件、編譯鏈植入、偽造證書簽署及惡意遠端更新。攻擊流程通常先鎖定供應鏈關係，入侵供應商環境，植入勒索軟體，最終蔓延至下游使用者，造成大規模資料加密與贖金勒索，並引發信任危機。…