数据库安全实战：你的数据是怎么被黑客“拖走”的？

文 | 小浪在日常开发和运维工作中，数据库几乎是我们最熟悉的伙伴——建表、写SQL、调优性能……但你有没有想过：一旦数据库被黑客盯上，会发生什么？更关键的是：黑客到底是怎么把数据“拖”走的？今天，我

【补天白帽黑客城市沙龙-长沙站】MCP漏洞挖掘与Nday复现

在人工智能与自动化执行技术深度融合的浪潮下，MCP(主动执行型智能系统)正在重塑网络安全的攻防格局。本课程围绕 MCP 领域的漏洞挖掘与 Nday 漏洞复现展开，从技术跃迁、原理剖析到实战复现、防御趋

黑客利用新型黑产AI工具KawaiiGPT发起网络攻击

KawaiiGPT是一款免费恶意大语言模型（LLM），最早于2025年7月被发现，目前版本已升级至2.5。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力，大幅降低了网络犯罪的

Unicode隐匿技术

一、 核心概念：什么是 Unicode 隐匿技术？简单来说，Unicode 隐匿技术就是利用 Unicode 标准中存在的“视觉上相似或相同”的字符、不可见字符、或字符组合，来替换原本文本中的字符，从

最详细审计PhpcmsV9.6.0注册文件上传漏洞-小白也能看懂

网上对于这个漏洞的分析大多都不完整，所以我这次就通过逆推的方式给大家详细分析一下这个漏洞，通过对比正常的注册包和POC，判断漏洞点出现的地方，并从数据获取开始一步一步分析，保证哪怕你刚接触代码审计，也

从原理到实践：java反序列化CC3链的两种攻击路径详解

概念CC3 链是什么？CC3链是一个在Java反序列化漏洞中，利用Apache Commons Collections库（版本3.x）中的类，来实现在目标系统上执行任意代码的攻击链路径。它与更著名的C

全球近30家机构沦陷：Oracle EBS遭黑客攻击事件启示录

2025年7月至10月期间，针对Oracle E-Business Suite（EBS）客户的复杂网络攻击暴露出企业资源规划系统的关键漏洞，导致全球约100家机构遭到入侵。此次攻击活动被归因于臭名昭著

文明赛场，衡阳骄傲——致敬湘超衡阳队与每一位“有礼”的球迷

图为 衡阳足球队这个秋天，衡阳的街头巷尾多了几分温润与秩序，城市的每一个角落都悄然焕发着文明的新光。十年磨一剑，2025年，衡阳终于成功创建全国文明城市！这份沉甸甸的荣誉，属于每一位默默付出的衡阳人

网络安全巨头CrowdStrike解雇向黑客泄露内部系统信息的员工

网络安全巨头CrowdStrike证实，已解雇一名涉嫌向知名攻击者组织泄露内部系统敏感信息的内部人员。内部截图遭Telegram泄露这起事件于周四晚间至周五上午曝光，攻击者组织“Scattered L

Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码

漏洞概述GitHub最受欢迎的开源项目之一Ollama（拥有超过15.5万星标）曝出严重漏洞。该漏洞存在于软件解析模型文件的过程中，攻击者可利用此缺陷在运行易受攻击版本平台的系统上执行任意代码。Oll

点击一次渗透42天：Akira勒索软件利用CAPTCHA诱饵摧毁云备份致存储公司瘫痪

Unit 42最新分析报告披露，一家全球数据存储和基础设施公司因员工点击恶意CAPTCHA诱饵，遭受毁灭性勒索软件攻击而陷入瘫痪。据Unit 42描述，"攻击始于一名员工访问遭入侵的汽车经销商网站时"

Cloudflare全球故障导致互联网瘫痪，多家主流平台服务中断

核心基础设施故障引发全球连锁反应2025年11月18日，互联网基础设施服务商Cloudflare发生大规模服务中断，导致全球范围内众多知名网站和平台出现间歇性故障。此次故障源于内部服务降级，触发了HT

这个摩托车长期占一个车位，合理吗？各位师傅怎么看？

歌推出统一安全推荐计划，扩展安全生态系统

谷歌云今日宣布推出"Google Unified Security Recommended"计划，旨在整合其不断扩展的安全生态系统，为企业提供经过验证且能与谷歌身份认证、威胁检测及云安全平台互操作的合

redis未授权到getshell总结

1 漏洞产生原因redis安装完之后，默认情况下绑定在 0.0.0.0:6379，且没有对登录IP做限制，并且没有设置密码（默认为空）。2 漏洞危害攻击者无需认证即可访问到内部数据，可能导致敏感信息泄

文件上传代码审计深度剖析

1 文件上传简介1.1 什么是任意文件上传漏洞任意文件上传漏洞常发生在文件上传功能中，由于后端代码中没有严格限制用户上传的文件，导致攻击者可以上传带有恶意攻击代码的JSP 脚本到目标服务器，进而执行脚

记一次postgres注入绕过waf

在授权测试某 APP 时，发现一处未授权 sql 注入，但是存在 waf，于是开始了绕 waf 之旅。APP 非开放注册，安装后需使用 OA 用户名、邮箱密码进行登录。但是俺没有测试账号，只能先简单装

一个稍显诡异的逻辑漏洞

在某次挖掘漏洞练手的过程中，碰到过一个比较特别的逻辑漏洞。之所以说比较特别是因为漏洞是偶然之间触发的，并且我本人在漏洞触发之后也是花了快半小时才理清这个逻辑漏洞要怎么复现。直接来到漏洞页面，如下图。前

GlassWorm蠕虫卷土重来：开源安全体系暴露根本性缺陷

蠕虫死灰复燃曾被宣布彻底清除的GlassWorm蠕虫在沉寂两周后，再次通过隐形Unicode字符和区块链C2（命令与控制）技术感染开源扩展。开源项目OpenVSX此前宣称该蠕虫已被"完全遏制"，但这款

JumpServer连接令牌泄漏漏洞 (CVE-2025-62712)复现

漏洞描述JumpServer是一款开源堡垒主机和运维安全审计系统。在JumpServer v3.10.20-lts及v4.10.11-lts之前的版本中，经过身份验证的非特权用户可以通过超级连接API

用友U8Cloud NCCloudGatewayServlet命令执行漏洞补丁分析及绕过

## 漏洞分析 官网通告NCCloudGatewayServlet接口存在命令执行漏洞 ![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-

【揭秘】好靶场的应急响应靶场制作的坑

0x00 前言本文不是为了非要打广告，只是希望可以帮到一些设计应急响应靶场的师傅。提供一星半点的思路就好。我们也是在摸石头过河，有兴趣的师傅可以一起交流。就在2025年10月29日的时候，我们收到了一

Calibre代码审计集合

Calibre 是一款跨平台的免费开源电子书软件套件。Calibre 支持将现有电子书组织到虚拟图书馆中，显示、编辑、创建和转换电子书，以及将电子书与各种电子阅读器同步。支持编辑 EPUB 和 AZW

wepoc 高效多任务nuclei 图形化POC扫描工具

wepocNuclei 漏洞扫描器图形界面工具WePoc，一款为 Nuclei POC 管理打造的图形化工具。Github : wepoc项目地址基于 Wails v2 框架的 Nuclei 漏洞扫描

多人共用一台服务器，如何防止“内鬼”搞破坏？

字数2092，阅读大约需11分钟大家好，我是小浪，一名老兵。经常有学生问我：“浪师父，我在公司实习时和十几个同事共用一台Linux服务器，总担心别人动我的代码、删我的数据，甚至怕被‘背锅’——这服务

揭秘“权限提升”与“持久化后门”的真实攻防战

字数1542，阅读大约需8分钟大家好，我是你们的老朋友，一名深耕网络安全多年的老兵。今天想和大家聊一个很多初学者甚至从业者都容易忽略的问题：“明明漏洞已经修复了，为什么黑客还能进进出出？”这听起来有

https://xz.aliyun.com/news/11718

什么是Adversarial Images（对抗图像）对抗图像是一种精心设计的输入数据，通过对原始图像进行细微修改，使机器学习模型（尤其是深度神经网络）产生错误的分类输出。这些修改通常对人类视觉不可察

Rust库曝高危漏洞（CVE-2025-62518）可导致远程代码执行

使用Rust编程语言开发项目的开发者，以及运行环境中部署Rust应用程序的IT负责人，需要警惕该编程语言某个库中发现的严重漏洞。Edera安全研究人员表示，他们在流行的Rust库_async-tar_

别让“小疏忽”变成大漏洞！信息泄漏攻防实战课，每个开发者都该上一堂

字数1624，阅读大约需9分钟大家好，我是小浪。今天不讲高深的0day，也不聊炫酷的APT攻击，而是想和大家聊聊一个看似不起眼，却频频引发重大安全事故的问题——信息泄漏。你可能觉得：“我又没把密码贴

新型Agent感知伪装技术利用OpenAI ChatGPT Atlas浏览器传播虚假内容

一种新型Agent感知伪装技术正利用OpenAI的ChatGPT Atlas等AI浏览器传播误导性内容。该技术使恶意攻击者能够污染AI系统获取的信息，可能影响招聘、商业和声誉管理等领域的决策。通过检测