云上攻防|打穿某地区智慧停车小程序
云上攻防|打穿某地区智慧停车小程序背景某次攻防演习,指挥部分配xx地区智慧停车系统小程序为我方靶标。 那基本可以确定,需要拿下的权限可能有以下几个: 1、小程序的secretkey 2、智慧停车系统数
阅读全文原创 | 如何让黑灰产“看不上”你的业务?
如何让黑灰产“看不上”你的业务?产品安全方案实战指南别再只靠风控系统了——真正有效的防御,从产品设计开始。在互联网产品的运营中,拉新、促活、转化……各种活动层出不穷。但你有没有发现,每次一上线高补贴
阅读全文人机交互防线失守:新型攻击将AI安全机制转化为漏洞利用载体
Checkmarx最新研究表明,AI Agent所依赖的人机交互(HITL)安全机制可能被攻破,攻击者能够将其武器化来运行恶意代码。HITL对话框作为最后一道安全防线(即"最终确认"环节),通常会在执
阅读全文通过微调与拒绝向量消融实现大模型越狱的实践
过微调与拒绝向量消融实现大模型越狱的实践前言:目前看到过很多越狱AI的手法,绝大多数都是使用提示词注入来对互联网上现有AI进行越狱,本文章中介绍另外一个方法进行越狱。环境要求如下大模型(需要下载至本地
阅读全文NVIDIA发布关键AI安全补丁:Isaac Lab与NeMo框架漏洞可能导致任意代码执行
NVIDIA已发布全面安全更新,修复其AI和仿真生态系统中的多个高危漏洞。这些补丁涵盖NeMo框架、Resiliency扩展以及Isaac Sim机器人仿真平台,修复了可能允许攻击者在受影响系统上执行
阅读全文CVE-2025-8110 0day 绕过分析与复现
本文从gogs历史漏洞点入手,结合gogs源码对最新CVE-2025-8110 0day的绕过手法进行分析,结合复现过程给出CVE-2025-8110 0day的正确POC前情提要gogs是一款由go
阅读全文SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击,意图渗透关键基础设施
一个复杂威胁组织利用网络安全巨头的声誉发起定向鱼叉式钓鱼攻击,通过冒充趋势科技(Trend Micro)入侵国防、能源和化工领域的关键机构。趋势科技最新报告显示,2025年11月,被追踪为SHADOW
阅读全文军用级ValleyRAT失控:内核Rootkit构建工具泄露引发全球攻击激增
一款曾用于定向间谍活动的高级网络武器现已失控——其构建工具公开泄露后,该恶意软件正在全球威胁环境中迅速扩散。Check Point Research(CPR)最新报告显示,被称为Winos的模块化后门
阅读全文新型01flip勒索软件袭击亚太关键基础设施:基于Rust的跨平台武器搭载Sliver C2框架
网络安全领域出现了一个手法老练的新型勒索软件组织,该组织使用专门构建的跨平台攻击武器,将亚太地区关键基础设施作为攻击目标。这款完全采用Rust编程语言编写的"01flip"勒索软件家族,能够以同等破坏
阅读全文大学生为赚学费出售"白码"无检测Webshell,已入侵5200余个政府/教育网站
安全研究人员发现了一起规模庞大的僵尸网络活动,其幕后黑手并非国家资助的APT组织,而是一名试图赚取学费的孟加拉国大学生。Cyderes Howler Cell逆向工程团队的最新报告详细披露了"白码"(
阅读全文Gartner警告企业严防AI浏览器渗透:或导致数据"不可逆且不可追踪"泄露
AI浏览器企业渗透现状网络安全公司Cyberhaven去年10月的数据显示,AI浏览器已悄然渗入企业环境:27.7%的企业至少有一名员工安装了ChatGPT Atlas,部分企业活跃使用率高达10%。
阅读全文高危漏洞影响CI/CD管道,提示注入即可攻破谷歌Gemini CLI
高危漏洞"PromptPwnd"影响CI/CD管道一种名为"PromptPwnd"的高危漏洞类别正在影响集成到GitHub Actions和GitLab CI/CD管道中的AI Agent。该漏洞允许
阅读全文勒索巨头LockBit 5.0基础设施遭曝光:服务器IP与域名泄露
关键基础设施暴露LockBit 5.0勒索软件团伙的关键基础设施遭曝光,其最新数据泄露网站托管于IP地址205.185.116.233及域名karma0.xyz。研究人员Rakesh Krishnan
阅读全文215万台运行Next.js的互联网暴露Web服务正遭活跃攻击
一个名为"React2Shell"的严重未认证远程代码执行漏洞正在被活跃利用,数百万Web服务面临风险。12月3日,React披露了CVE-2025-55182漏洞,这是React服务器组件中的一个严
阅读全文黑客利用新型黑产AI工具KawaiiGPT发起网络攻击
KawaiiGPT是一款免费恶意大语言模型(LLM),最早于2025年7月被发现,目前版本已升级至2.5。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力,大幅降低了网络犯罪的
阅读全文Next.js无条件RCE漏洞 - 浏览器插件
RSC 指纹检测器一款用于检测网页中 React Server Components (RSC) 和 Next.js App Router 指纹的 Chrome 浏览器扩展。⚠️ 重要提醒此扩展仅用
阅读全文核弹级漏洞?请看CVE-2025-55182真实测验分析
12月3日凌晨,关于CVE-2025-55182 & CVE-2025-66478一系列“CVSS10”、“核弹级”、“堪比前端圈的log4j漏洞"等文章标题在网安圈中流传甚广。Goby安全团队通过系
阅读全文上百个分布式节点,真的不会混进“内奸”吗?Hadoop安全深度解析
在如今这个数据驱动的时代,几乎每个企业都离不开大数据处理。而提到大数据,就绕不开一个名字——Hadoop。作为分布式计算领域的“开山鼻祖”,Hadoop凭借其底层的HDFS(分布式文件系统)、YAR
阅读全文大型企业信息安全架构及实践介绍PPT课件
当前中国的安全服务市场还处于起步阶段,上升潜力很大,特别是今年随着一些安全法规和监管政策的出台、重大事件和活动给客户安全意识带来的积极影响,安全服务市场正朝良性发展的方向迈进。另外,随着国家等级保护制
阅读全文数据库安全实战:你的数据是怎么被黑客“拖走”的?
文 | 小浪在日常开发和运维工作中,数据库几乎是我们最熟悉的伙伴——建表、写SQL、调优性能……但你有没有想过:一旦数据库被黑客盯上,会发生什么?更关键的是:黑客到底是怎么把数据“拖”走的?今天,我
阅读全文【补天白帽黑客城市沙龙-长沙站】MCP漏洞挖掘与Nday复现
在人工智能与自动化执行技术深度融合的浪潮下,MCP(主动执行型智能系统)正在重塑网络安全的攻防格局。本课程围绕 MCP 领域的漏洞挖掘与 Nday 漏洞复现展开,从技术跃迁、原理剖析到实战复现、防御趋
阅读全文黑客利用新型黑产AI工具KawaiiGPT发起网络攻击
KawaiiGPT是一款免费恶意大语言模型(LLM),最早于2025年7月被发现,目前版本已升级至2.5。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力,大幅降低了网络犯罪的
阅读全文Unicode隐匿技术
一、 核心概念:什么是 Unicode 隐匿技术?简单来说,Unicode 隐匿技术就是利用 Unicode 标准中存在的“视觉上相似或相同”的字符、不可见字符、或字符组合,来替换原本文本中的字符,从
阅读全文最详细审计PhpcmsV9.6.0注册文件上传漏洞-小白也能看懂
网上对于这个漏洞的分析大多都不完整,所以我这次就通过逆推的方式给大家详细分析一下这个漏洞,通过对比正常的注册包和POC,判断漏洞点出现的地方,并从数据获取开始一步一步分析,保证哪怕你刚接触代码审计,也
阅读全文从原理到实践:java反序列化CC3链的两种攻击路径详解
概念CC3 链是什么?CC3链是一个在Java反序列化漏洞中,利用Apache Commons Collections库(版本3.x)中的类,来实现在目标系统上执行任意代码的攻击链路径。它与更著名的C
阅读全文全球近30家机构沦陷:Oracle EBS遭黑客攻击事件启示录
2025年7月至10月期间,针对Oracle E-Business Suite(EBS)客户的复杂网络攻击暴露出企业资源规划系统的关键漏洞,导致全球约100家机构遭到入侵。此次攻击活动被归因于臭名昭著
阅读全文文明赛场,衡阳骄傲——致敬湘超衡阳队与每一位“有礼”的球迷
图为 衡阳足球队这个秋天,衡阳的街头巷尾多了几分温润与秩序,城市的每一个角落都悄然焕发着文明的新光。十年磨一剑,2025年,衡阳终于成功创建全国文明城市!这份沉甸甸的荣誉,属于每一位默默付出的衡阳人
阅读全文网络安全巨头CrowdStrike解雇向黑客泄露内部系统信息的员工
网络安全巨头CrowdStrike证实,已解雇一名涉嫌向知名攻击者组织泄露内部系统敏感信息的内部人员。内部截图遭Telegram泄露这起事件于周四晚间至周五上午曝光,攻击者组织“Scattered L
阅读全文Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码
漏洞概述GitHub最受欢迎的开源项目之一Ollama(拥有超过15.5万星标)曝出严重漏洞。该漏洞存在于软件解析模型文件的过程中,攻击者可利用此缺陷在运行易受攻击版本平台的系统上执行任意代码。Oll
阅读全文