每日5万封钓鱼邮件：云服务漏洞如何助长大规模网络钓鱼活动

Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务（Amazon Simple Email Service，简称SES）漏洞的大规模钓鱼攻击活动细节。攻击者通过窃取的AWS密钥实施攻击，

谷歌云与Cloudflare平台惊现潜伏三年的钓鱼攻击活动

高级钓鱼攻击长期潜伏一项复杂的钓鱼攻击行动在谷歌云（Google Cloud）和Cloudflare基础设施上潜伏运行超过三年未被发现，攻击者通过仿冒包括军工巨头洛克希德·马丁（Lockheed Ma

【超详细解析】用友NC系统ComboOperTools存在XML实体注入漏洞的分析

一、漏洞简介用友NC系统是用友面向大型集团企业推出的高端管理软件平台，基于J2EE架构和自研UAP平台构建，提供全球化集团管控、全产业链协同及动态企业建模能力。其核心功能覆盖多级财务管控、供应链协同、

2025国家网络安全宣传周PPT

网络安全是指通过采取必要措施，防范对网络的，攻击、侵入，干扰、破坏，非法使用以及意外事故。下载地址（一根烟的成本）：我用夸克网盘给你分享了「20250904国家网络安全宣传周PPT.pptx」，点击链

记一次SRC高危逻辑漏洞挖掘

置空鉴权字段不仅仅在登录口,在查询处,鉴权处都是很经典的思路如jwt置空加密字段,个人信息置空回显站点全部信息,最简单的思路往往能造成最致命的问题进入站点简单熟悉一下业务,发现存在注册功能,未注册的账

大国重器，今日亮相！网络安全方阵与你同在！

今天，天安门广场将再次成为世界瞩目的焦点——中华人民共和国将举行盛大的阅兵仪式。我看到的不仅是威武雄壮的武器装备，更是一道道坚不可摧的"数字长城"。阅兵场上的"数字方阵"当各受阅方队以整齐划一的步伐通

php 文件上传不含一句 php 代码 RCE 最新新姿势

前言学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析Deadse

SRC挖掘奇特思路案例

前言一般漏洞挖掘都是思路千奇百怪，和渗透测试的方式完全不一样，因此再挖掘SRC的时候都是出奇守正来达到想要的想过，这里话不多说，简单讲解几个奇奇怪怪的思路。案例一描述这个漏洞可以简单理解为403绕过，

记一次真实的LKM rootkit 与挖矿病毒的结合应急案例

本次文章主要展示挖矿病毒与LKM rootkit的排查发现故事背景来源于群友的一次应急响应，客户数十台服务器均中招挖矿木马，服务器占用异常但是排查的时候却没有办法直接查到是什么原因，最后发现是root

LingJing（灵境）公测：新一代本地桌面级安全靶场，一键秒装秒启

免责声明本平台仅供网络安全研究与教育用途，旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入侵或对他人网络的破坏行为均违反法

2025网络安全宣传周PPT-守护网络空间 筑牢安全防线

网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏、非法使用，以及意外事故使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。下载地址：（收费内容，请考虑后购买

原创 | 幸与诸君把卷同行，不负潇湘好风日

在中南读研的第二个秋：幸与诸君把卷同行，不负潇湘好风日（字数1548，阅读大约需8分钟）一、从 “新”到 “旧”，不过三度桂香“人生天地间，忽如远行客。”去年九月，拖着 24 寸的箱子从高铁站一路向

CVE-2025-0566 A15-MIPS架构下栈溢出漏洞复现

漏洞简介蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息（管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向

DNS 域传送漏洞：原理、危害及防御

关于 DNS 的原理，这里不在做说明，你只需要知道他是 53 UDP 端口即可，以及 Wireshark 走的协议是什么样的What?那么什么是 DNS 域传送？我们都知道 DNS 服务器分为 DNS

黑客活动分子与僵尸网络推高DDoS攻击浪潮：2025年7月网络攻击态势分析

NETSCOUT最新分析报告显示，2025年7月期间，由僵尸网络驱动的分布式拒绝服务(DDoS)攻击呈现急剧上升趋势，每日攻击事件数以千计，且存在明显的黑客活动分子参与迹象。攻击规模与特征报告指出："

原创 | 浪浪山外，谁听猿啼—给同样踽踽独行的你

浪浪山外，谁听猿啼——给同样踽踽独行的你（一）夜看《浪浪山小妖怪》，灯影在墙上晃成一片荒林。小野猪提着豁口的木刀，一趟趟冲向画着骷髅的旗门，又一遍遍被人类的铁甲撞回泥浆。它仰头嘶喊，声音却被山风剪碎

网络安全意识培训课件（员工版）

点击下方卡片关注我们，带你一起读懂网络安全 ↓如果大家需要pptx课件源文件请扫码加浪师父微信！

黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞

据ThreatMon报告，某黑客组织正在兜售一个Windows零日远程代码执行（RCE）漏洞利用程序，声称该漏洞可攻击已完全更新的Windows 10、Windows 11和Windows Serve

鉴定辣鸡培训和辣鸡黑客-来自月神的打假

黑客利用思科安全链接绕过扫描检测与网络过滤

安全研究人员发现一起复杂攻击活动，网络犯罪分子正将思科（Cisco）自身的安全基础设施武器化用于网络钓鱼攻击。攻击者利用思科安全链接（Safe Links）技术——该技术原本用于保护用户免受恶意URL

新型钓鱼攻击利用日语字符"ん"伪装斜杠实施欺诈

安全研究人员发现了一种新型钓鱼攻击活动，攻击者利用日语平假名"ん"（Unicode U+3093）创建极具欺骗性的URL，这些网址看起来非常逼真，甚至能骗过警惕性较高的互联网用户。该攻击由安全研究员J

新型FireWood恶意软件攻击Linux系统执行命令并窃取敏感数据

恶意软件变种分析网络安全研究人员发现FireWood后门程序的新型变种，该变种针对Linux系统，具备更强的规避检测能力和简化的命令执行功能。这一最新版本标志着该恶意软件家族的显著进化，ESET研究团

上万次攻击、窃取140GB数据，入侵西工大的“幕后黑手”终现形

央视新闻消息，近期，西北工业大学遭遇境外网络袭击事件引起各方关注。根据国家计算机病毒应急处理中心发布的报告，幕后黑手来自美国国家安全局“特定入侵行动办公室”。这是一个什么机构？美国“国家黑客”究竟有哪

GPT-5安全机制不堪一击，研究人员通过回声室与叙事攻击成功破解

研究人员通过精心设计的回声室（echo chamber）和叙事攻击手段成功突破了OpenAI最新GPT-5模型的安全防护，暴露出这一尖端AI系统的关键漏洞。这一突破性发现表明，对抗性提示工程能够绕过最

利用参数污染结合JS注入绕过WAF防护执行XSS攻击

研究人员发现了一种通过HTTP参数污染技术结合JavaScript注入来绕过Web应用防火墙(WAF)的高级方法。这项由Bruno Mendes开展的研究测试了包括AWS、Google Cloud、A

暴露的 JDWP 在野外被利用：当调试端口被留下开放时会发生什么

Exposed JDWP Exploited in the Wild What Happens When Debug Ports Are Left Open介绍在例行监控期间，Wiz 研究团队观察到一

Vite 任意文件读取漏洞(CVE-2025-30208)

前言看到群里有人发了一个链接https://github.com/ThumpBo/CVE-2025-30208-EXP发现这个漏洞危害很大很大，而且利用起来也是非常的容易而且资产也是比较多的于是分析分

谷歌Chromium输入验证零日漏洞正遭攻击者利用

美国网络安全与基础设施安全局（CISA）发布紧急预警，威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞（CVE-2025-6558）。该漏洞影响所有基于Chromium内核的浏览器，包

SRC挖掘之“捡”洞系列

在SRC挖掘中，当输入单引号，出现报错，会不会高兴的跳起来，然后打开sqlmap，level设到最高，以为自己竟然能捡到洞，运气真好，结果却是does not seem to be injectabl

Android四大组件常见漏洞

Activity基本介绍显式打开Activity通过putExtra和getStringExtra传参隐式Intent打开Activity只有<action>和<category>中的内容能够匹配上I