SRC漏洞挖掘经验和技巧分享（二）

SRC漏洞挖掘经验和技巧分享继续衔接上篇，本篇从字典、业务安全、APP测试这三个环节来分析决定你能否挖到其他更高价值的漏洞一、字典的收集与优化：从量变到质变字典是爆破的灵魂，但网上公开的字典大多藏着掖

SRC漏洞挖掘经验和技巧分享（一）

SRC漏洞挖掘经验和技巧分享深挖一些实战中的细节和技巧。很多朋友觉得SRC漏洞挖掘就是拿着扫描器咔咔一顿扫，其实不然，真正能挖到高危、拿到高奖金的人，往往在细节上做得更足。下面将自己这几年积累的一些经

OWASP Top 10 for Agentic Applications for 2026

2026智能体应用OWASP Top 10OWASP（Open Web Application Security Project）发布了 《OWASP Top 10 for Agentic Appli

小龙虾OpenClaw 侵权警示

你们都用 OpenClaw（Moltbot、ClawdBot）实现了什么有价值的功能？

点击了解DeepAudit，掌握代码安全审计新方法

一个叫 DeepAudit 的开源项目引起了不少讨论。它号称是“下一代代码安全审计平台”，主打用多个AI智能体模拟安全专家的协作方式，自动挖洞、自动写验证脚本，甚至还能在沙箱里跑一遍给你看。听着挺高级

广东省网安近五年就业率分析报告

广东省网络安全/信息安全专业近五年就业率分析报告一、研究背景与目的随着数字化进程的加速推进，网络安全已成为国家战略层面的重要议题。广东省作为中国经济最发达的省份之一，拥有庞大的信息技术产业群和对网络安

学完OWASP Top10，我竟陷入了网络安全人的“无力困境”

初心满怀：以为吃透Top10，就是网安入门的开始我曾经以为，只要把OWASP Top10的基础漏洞学明白，就能拿到网络安全的「入门通行证」，在这个领域站稳脚跟，找到一份不错的工作。最开始学Top10的

Java安全反序列化之CB链

反序列化之CB链文章推荐:https://mp.weixin.qq.com/s/BktplS5xLw3OnOJxvRp2RQhttps://www.freebuf.com/articles/web/3

Java安全之Java Agent内存马

01Java Agent介绍Java Agent 是 Java 提供的一种在 不修改原始代码 的前提下，对 JVM 中运行的类进行 动态监控、增强或修改字节码 的技术。它本质上是一个特殊的 JAR 包

2026 全国两会网络安全趋势展望

2026两会：网络安全预测今年是“十五五”规划筹备的关键年，新修改的《网络安全法》正式施行不久。过去一年，AI从“效率工具”走向“自主执行”，勒索攻击从“入侵”演变为“经营中断”，普通人更直接感受到诈

WebShell免杀之jsp篇

查杀平台1. 在线查杀平台（浏览器直接使用）河马在线查杀（https://n.shellpub.com/）查杀方向：聚焦 WebShell 全类型文件（PHP、JSP、ASP、ASPX 等），采用 “

标题：网络战先行，舆论战紧随：美以对伊朗网络攻击全解析

作者：奋斗的小浪 | 发布时间：2026年3月1日在现代战争的棋盘上，硝烟未起，战火已燃。当人们还在关注导弹试射、军演动态时，一场没有硝烟的战争早已在数字空间悄然展开。网络战，已成为现代冲突的“第一枪

好靶场一个普普通通的edu12

信息收集打开靶场是一个"好靶场网络安全大学"的官网，有首页、公告通知、教务系统登录三个功能。题目提示"注意搜索功能"，在公告通知页面 /announcements 找到了一个搜索框，GET 方式提交参

权威报告发布：揭露美国技术霸权收割全球虚拟货币资产

近期安全事件一览（全球重大安全事件和CVE-2026-2441）

重大安全事件概览（2026年2月22日 - 2月25日）🔓 A. CarGurus 1240万用户数据遭泄露⏰ 事件时间： 2026年2月25日📌 事件详情著名黑客组织 ShinyHunters 在其

乌托邦·王的实验室24——拼少少商城 Writeup

踩点打开靶场，是一个"拼少少商城"，Go 语言写的分布式商业中台。页面上有几个关键元素：顶部显示用户名和余额（初始为 0）"百亿补贴"按钮，点击领取 100 购物金，限领一次商品列表，其中有个"特供：

欣欣的缠绕毛线球 2 — 乌托邦·王的实验21wp

欣欣的缠绕毛线球 2 — 乌托邦·王的实验21题目概况打开靶机是一个 Web 页面，标题"乌托邦·王的实验21：欣欣的缠绕毛线球"，页面上有聊天区、图数据展示区和一个输入框。看起来像是个交互式解谜题。

紫罗兰永恒花园_wp

Mechanical Resonance — 薇尔莉特的打字机共鸣❝"我想知道，'爱'是什么。" —— 薇尔莉特·伊芙加登前言这道题的包装太戳我了。紫罗兰永恒花园的世界观，薇尔莉特用机械义手校准打字机

2026年AI安全市场巨震，ClaudeCodeSecurity究竟带来了什么？

2026年2月20日，Anthropic发布Claude Code Security，引发安全市场巨震，CrowdStrike等巨头股价应声下跌超8%。这标志着一个新时代的开启：由大模型驱动的

马年修心：不困内耗，深耕己身，方赴顺遂

新岁启封，烟火向暖，可太多人仍困在无形的内耗里：为未发生的变数辗转反侧，为无力改变的过往自我拉扯，盯着别人的光芒暗自焦虑，却偏偏忽略了——人生的主动权，从来不在 “关注圈”的喧嚣里，而在 “影响圈”

CVE-2026-20408 高危Wi-Fi芯片漏洞曝光，影响多款联发科及Aruba设备

国家信息安全漏洞库（CNNVD）收录了一个编号为 CVE-2026-20408 的高危漏洞，该漏洞影响联发科（MediaTek）多款主流Wi-Fi芯片，并波及采用这些芯片的Aruba等厂商的网

Windows记事本命令注入漏洞（CVE-2026-20841）【已复现】

漏洞概述漏洞名称Microsoft Windows 记事本命令注入漏洞漏洞编号CVE-2026-20841公开时间2026-02-10POC状态已公开漏洞类型命令注入技术细节状态已公开利用可能性低CV

2026马年新春，船山安全团队有哪些新征程？

金马奔腾迎新岁，骏业日新展宏图。值此2026丙午马年新春佳节来临之际，船山院士网络安全团队向大家致以最诚挚的节日问候！辞旧迎新 日新月异 回首旧岁，我们在年前召开核心会议，线上齐聚、共话

春秋云境Initial wp

flag1image-20260215131004497这里进来是一个登录的页面，但其实它不能登录，于是使用Tscan进行端口扫描发现web服务是用ThinkPHP搭建的（从网站图标也能知道）imag

前端不是“透明玻璃”：打造真正可信的前端安全防线

作者：小浪船山院士网络安全团队 创始人微信公众号「船山信安」原创首发大家好，我是小浪。今天想和大家聊一个我们常常忽略、却又极其关键的问题：前端安全。很多人觉得，安全是后端的事。只要数据库加密、接口鉴

关于学生党白嫖高级AI的这些事

前言现在的ai发展太快了，但是没米，不能体验到各种高级的AI，遂去想了一些办法找到了一些野生的API 虽然可以调用 但是体验很差还是提供一些网站：Unsecured API Keys - Find E

明明连着网，网页就是打不开？90% 是这几个原因，值得点赞收藏！

免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号船山信安及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

【0 day 在野】安科瑞企业微电网能效管理平台存在敏感信息泄露漏洞 附POC

免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号船山信安及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

【首发复现】用友BIP LoginWithV8存在登录绕过漏洞

免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号船山信安及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即