MyBatis框架SQL注入漏洞深度剖析
MyBatis框架SQL注入漏洞深度剖析:从原理到实战前言最近在审计一个CMS系统时,遇到了一个典型的MyBatis注入问题,整理一下分享出来。这个漏洞出在fastcms v0.1.5的后台功能中,问
阅读全文【成功复现】Apache ActiveMQ远程代码执行漏洞(CVE-2026-34197)
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文C盘又飘红了?别急着删文件,可能是虚拟内存(pagefile.sys)在悄悄占空间!!!
C盘又飘红了?别急着删文件,可能是虚拟内存(pagefile.sys)在悄悄占空间。作为系统性能的关键设置,虚拟内存放在C盘还是D盘更合理?今天从技术角度帮你理清windows虚拟内存怎么设置这个问题
阅读全文【1 day 在野】WordPressMailMint-CVE-2026-2025-信息泄露 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文C盘windows文件夹哪些可以删除?5类文件夹清单(windows清理c盘必读)
在日常使用电脑的过程中,很多用户都遇到过这样的困扰:明明没装什么软件,C盘却突然“爆红”,系统频繁提示“磁盘空间不足”,电脑运行也变得卡顿。面对C盘中密密麻麻的文件夹,尤其是那个体积庞大的Window
阅读全文【1 day 在野】博硕BGM系统存在任意文件读取漏洞 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【1 day 在野】博硕BGM系统存在敏感信息泄露 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【1 day 在野】福建科立讯通信指挥调度管理平台存在数据库全备份文件未授权下载 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【1 day 在野】博硕BGM系统存在敏感信息泄露 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【1 day 在野】福建科立讯通信指挥调度管理平台存在数据库全备份文件未授权下载 附Payload
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文CVE-2026-33026 深度解析:Nginx-UI 备份加密缺陷致全量接管风险
一、漏洞核心信息速览漏洞属性详情说明漏洞编号CVE-2026-33026漏洞类型完整性校验值验证不当(CWE-354)、加密签名验证失败(CWE-347)风险等级严重(CVSS 4.0 关键指标最高分
阅读全文破防!AI仅用4小时攻破FreeBSD,黑客时代彻底被改写?
你还在觉得“AI只能辅助安全研究,成不了真正的黑客”吗?最近Calif团队披露的一起事件,直接颠覆了所有人的认知——Anthropic的Claude,仅用4小时实际工作时间,就独立完成了FreeBSD
阅读全文Claude Code 代码泄露事件全复盘:51.2 万行代码 “裸奔” 背后的警示
3月31日,AI 圈爆发重大安全事件——Anthropic 旗下明星产品 Claude Code 的完整源代码意外泄露,近 2000 个文件、51.2 万行 TypeScript 代码通过 npm 包
阅读全文一亿下载量的 “毒药”:Axios 供应链投毒事件深度解析
紧急预警:2026 年 3 月 31 日,全球最流行的 JavaScript HTTP 客户端库 Axios(周下载量超 1 亿)遭遇严重供应链攻击,攻击者通过劫持维护者 npm 账号发布恶意版本,植
阅读全文紧急预警:iPhone 0day 漏洞 CVE-2026-20643 已被实战利用,所有苹果用户立即升级!
核心结论:苹果 WebKit 引擎 0day 漏洞 CVE-2026-20643 已被黑客大规模利用,无需用户授权即可通过恶意网页窃取隐私与财产。立即升级至 iOS 26.3.1 (a)、iPadOS
阅读全文AI渗透测试VS传统工具:绝非简单升级
先搞明白一件事:AI渗透测试和传统工具根本就不是一回事。以前用Nmap、Metasploit,是自己指挥进行的一系列的步骤,“扫这个IP”、“测那个端口”,”查看相关版本“。遇到WAF
阅读全文Apifox 投毒事件复盘:当开发工具变成后门
近期供应链攻击又出事了——Apifox 的 CDN 文件被人篡改,直接在开发者的机器里塞了个后门。入口被硬塞了 42KB 的 JS 文件 Apifox 桌面端启动时会从 CDN
阅读全文这个开源工具能自动检查安全漏洞
做内网安全的兄弟应该都有过这种体验,当拿到一个域控权限或者要做AD安全审计时,面对成百上千的用户和计算机对象,手动一个个去翻密码策略、查委派配置、找Kerberoast目标……步骤是比
阅读全文Token定名“词元”:智能时代最小单位
词元这件事,藏着多少安全坑?今天刷到一个消息,国家数据局局长给“Token”定了中文名,叫“词元”。这个词语的意思既是智能时代的价值锚点,又是厂商算钱用的计量单位。目前国内日均词元调用量已经超过140
阅读全文微信悄悄接入Open claw,你的聊天框从此能动手干活了
昨天刷到个新闻,说微信接入openclaw这个功能模块了点进去一看,是微信弄了个叫ClawBot的插件,相当于给你和这只“龙虾”之间搭了条私密通道,以后直接在微信聊天框里指挥它干活。说实话,这玩意儿和
阅读全文北京网警重拳出击:5人因“网络开盒”获刑,最高判7年!
互联网的隐秘角落里,一种名为“开盒”的网络暴力行为曾肆无忌惮。它不再是简单的“人肉搜索”,而是通过非法获取公民的身份证、住址、电话等核心信息,对当事人进行公开曝光和骚扰,将网络攻击引向现实生活,危害极
阅读全文AI时代,你的工作“安全”吗?一个被全网误读的数据真相
AI时代,你的工作“安全”吗?一个被全网误读的数据真相最近,科技圈被一个项目刷屏了。特斯拉前AI总监、AI大牛安德烈·卡帕西(Andrej Karpathy)在一个周六上午,花了两小时写了一个小工具。
阅读全文你的“数字分身”已上线!腾讯QClaw全量公测,20秒让AI替你上班
还在为微信、企微、钉钉、飞书、QQ五座信息孤岛而头疼吗?今天,腾讯QClaw正式开启全量公测,无需邀请码,官网下载20秒即可完成安装。这一次,AI不再只是对话框里的聊天机器人,而是能直接接管你电脑桌面
阅读全文AI武器化、零点击攻击与8亿美金大劫案(近期大瓜汇总)
2025年的黑客圈,安静得有些诡异。没有大规模勒索软件爆发,没有震耳欲聋的数据泄露声明。但在这份"安静"背后,一场更危险的变革正在发生——黑客们不再追求短期破坏,而是像寄生虫一样,悄无声息地住进你的系
阅读全文北美校园医院警报!朝鲜APT新武器Dohdoor偷袭,病历成绩全被偷。
2026年2月,思科Talos实验室曝光了一起针对性攻击:神秘威胁组织UAT-10027自2025年12月起,专门猎杀美国教育和医疗行业,用一款名为Dohdoor的隐形后门,悄悄窃取学生成绩、患者病历
阅读全文Canirun.ai: 一个专门用来帮你判断“我的电脑/设备能不能本地跑某个AI大模型”的免费 ...
https://www.canirun.ai/ 是一个专门用来帮你判断“我的电脑/设备能不能本地跑某个AI大模型”的免费在线工具。它本质上是“Can You RUN It”(那个经典的游戏配置检测网站
阅读全文本月目前的瓜:AI龙虾爆雷、零日漏洞频发、黑产遭重创
开篇导语3月黑客圈风云突变:全民疯抢的AI“龙虾”OpenClaw沦为黑客提款机,全球27万设备裸奔;APT组织用上AI造毒,零日漏洞突袭关键基建;多国联手端掉顶级黑产平台,网络安全进入AI攻防与地缘
阅读全文第一批养虾人开始卸载龙虾!账单三天三千,全盘权限沦为黑客“自助餐”
“第一批养虾人已经开始卸载了。”3月11日,这则看似调侃的话题冲上热搜,二手交易平台上甚至出现了“上门卸载OpenClaw”的付费服务 。就在一周前,这只红色的“龙虾”还是数字世界最抢手的宠物,深圳腾
阅读全文渗透小白必看:10个实战漏洞,一学就会、一测就中
整理了十个关键时刻能救急的实战漏洞,都是好发现、好复现、报告好写的常见问题。一:弱口令总有人图省事,密码设成有规律的数字跟设了跟没设一样。步骤:Burp Suite 的 Intruder 挂个弱口令字
阅读全文