黑客感拉满!这款开源工具,一键看透身边所有无线设备
你有没有想过,身边看不见的无线信号里藏着多少信息?WiFi 密码是否泄露、附近有哪些蓝牙设备、连车辆的无线信号都能被捕捉分析…… 今天给大家安利一款开源无线 OSINT 神器 —— WireTappe
阅读全文你以为请了个AI员工,也可能是掘墓者
导语:你以为你招了个任劳任怨的数字劳工。其实你请来的,是一个毫无情感也不知分寸的掘墓者。在信息安全领域,我们习惯了与敌人打交道——黑产、APT、勒索团伙、内鬼,每一个都有名有姓,有动机有手法。我们可以
阅读全文针对中文用户的 "SumatraPDF" 供应链攻击
一场针对中文使用者的高度定向、技术复杂的供应链攻击活动,由高级持续性威胁(APT)组织 Tropic Trooper(亦称 Earth Centaur、Pirate Panda)发动,于近日被安全机构
阅读全文朝鲜黑客通过伪装Excel文件向制药公司投放恶意软件
朝鲜政府支持的黑客组织Kimsuky近期针对处方药制药企业发起定向攻击,使用名为"White Life Science ERP Specification"的精心伪装恶意文件。攻击者通过伪造Excel
阅读全文Sherlock一键检索自己都注册了哪些平台
在日常工作中,我们会需要到某些平台注册账号。可时间一长自己也忘记了在哪些平台注册过。当这些平台的数据不幸泄露,而我们的信息变成了“撞库”的一手资源。因此,本文为大家推荐一款工具,可以检索全网对应账号注
阅读全文中国工程师徐泽伟被意大利秘密引渡至美国:人权何在?
导语:2026年4月25日,中国网络安全工程师徐泽伟被意大利秘密移交至美国。从2025年7月落地米兰机场被扣押,到今年4月被悄悄递解出境——整整九个月,他的家属和律师始终被排除在程序之外。这不是司法,
阅读全文【北京】“删库”获刑5年,89TB数据灰飞烟灭!
2024年9月,北京市东城区某科技公司算法工程师王某,为了使用公司的算力资源“干私活”,违规登录公司服务器集群,输入了行业内公认最危险、被称为“删库跑路代码”的删除命令,在一夜之间将公司AI游戏部门超
阅读全文黑客利用Telegram做“战报系统”,900余家企业遭React2Shell漏洞批量洗劫
Part01攻击行动曝光一台意外暴露在公网的服务器,揭开了近期一场大规模自动化攻击的真面目。在这场围绕名为「Bissa scanner」工具展开的攻击行动中,威胁攻击者利用自动化扫描、AI辅助编码与T
阅读全文ESP-Claw零代码玩转物联网
在前期我们讲到了如何在ESP32中部署OpenClaw,但不少小伙伴在编译固件时遇到了各种各样的问题,比如依赖库缺失、环境配置复杂等,让人很是头疼。不过别担心,官方最近推出了全新的ESP-Claw,大
阅读全文红队神器|Vue 站点未授权漏洞一键挖掘,这款插件太好用了
在日常渗透测试和 SRC 挖洞中,Vue 框架站点经常让人头疼:前端路由守卫拦着、权限判断藏在 meta 里、后台路径不翻源码根本找不到,手动测试又慢又容易漏。今天给大家推荐一款红队专用浏览器插件 —
阅读全文惊爆!自主搭建QPU(量子处理单元)栈,成功分解RSA-1024
导语:BLAKE3、SipHash联合设计师,NIST后量子签名标准SLH-DSA共同设计者,《Serious Cryptography》作者——当这样一位站在密码学金字塔顶端的人物,突然声称用自建的
阅读全文PDF漏洞利用工具,看起来像真的!
一名威胁行为者正在一个知名网络犯罪论坛上出售一款号称100% FUD(完全免杀)、支持无限次构建的PDF漏洞利用构建工具,其分级许可证起售价为300美元。‣ 威胁行为者:TheStrain‣ 类别:非
阅读全文记一次某大学的漏洞挖掘
宇宙免责声明!!!本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。在一个夜黑风高的
阅读全文AI编程默认不安全:知名AI公司发生重大数据泄露
Lovable、Vercel、Anthropic等多家知名AI公司近期均发生重大影响的数据泄露事件,前两家涉及大规模暴露/泄露用户数据,后者则是将明星产品的源代码公开暴露;上述几起事件的原因不一,有默
阅读全文18岁,入侵微软、英伟达、优步,赚1300万美元,然后……无限期监禁;如今他在监狱里,却再次连上了互联网
导语:2022 年,17 岁的阿里昂·库尔塔伊从牛津母亲家的卧室里,用一根亚马逊电视棒、一部手机和纯社会工程学手段,在六个月内入侵微软、英伟达、三星、优步等十余家硅谷巨头,窃取 300 枚比特币(当时
阅读全文利用 PowerShell 窃取 Telegram 会话
Pastebin 隐写木马:利用 PowerShell 窃取 Telegram 会话 这个有细节不?过去几天(2026年4月下旬)安全社区讨论非常激烈的一个实战案例。它之所以引起轰动,是因为其利用了极
阅读全文某次SQL注入绕WAF的经历
0x01 基友你好说来你说巧不巧,刚好干完客户的项目,就看到基友的消息。难道,这就是传说中的心有灵犀?那么,我们得到了基础消息,有过滤和WAF:既然是通用,虽然说这里失败了,但我们先用这个Payloa
阅读全文人工智能开发的 C2 /远程访问木马框架
开放目录地址:101.32.128[.]36:8443该框架可能仍处于测试阶段。Telegram 上的痕迹显示了攻击者的 Telegram/WhatsApp 聊天记录和自测试内容。反复出现 “pran
阅读全文加拿大明显感觉技术进步了,北美首次捕获"短信爆破器"
导语:如果有人告诉你,有一种"撒网式"手机信号劫持设备,能在几分钟内让周围数万台手机掉线,然后强制它们接收钓鱼短信,你可能会觉得这是某部间谍大片的剧情。但这一幕就发生在加拿大多伦多的街头——而且这是北
阅读全文银行因网络安全/数据安全问题被“双罚”,科技部人员负有责任
4月,中国人民银行新疆维吾尔自治区分行发布的行政处罚信息显示,哈密市商业银行因“违反支付结算业务管理规定;违反网络安全与数据安全管理规定;违反反假货币业务管理规定;违反征信管理规定;违反反洗钱管理规定
阅读全文仅花1.5万元,就能把关键漏洞变成直接运行的网络武器
安全研究员尝试用Claude Opus 4.6模型为Discord客户端内置的Chrome编写漏洞利用,在消耗20个小时2.3T词元(价值约1.5万元)后,成功实现了CVE-2026-5873利用工具
阅读全文被遗忘的幽灵接口:已废弃 API 正成为攻击者的 “黄金后门”
在微服务与云原生架构全面普及的今天,API 早已成为数字系统的 “神经网络”,支撑着业务流转、数据交互与第三方对接的核心流程。企业不断迭代新版本接口、更新开发文档、强化安全管控,却往往忽略了一个致命隐
阅读全文一键搞定 浏览器保存的登录密码 历史记录 书签
我们在使用浏览器输入账号和密码后,为了方便下次登录,浏览器会提示我们保存密码到浏览器。虽然方便了我们的登录操作,但是这样风险很大。应该攻击者会方便的获取你输入的账号和密码。HackBrowserDat
阅读全文Mythos 神话破灭,“打脸”来得这么快吗?
一边大谈AI安全,一边自家大门被人从后门推开。自诩“安全第一”的Anthropic,正在为其最强大的模型Mythos被一群Discord用户轻松攻破而焦头烂额。当Anthropic联合创始人兼首席科学
阅读全文疑似朝鲜APT组织Lazarus Group | 加密货币KelpDAO 遭遇 2.9 亿美元巨额盗窃案
据区块链安全情报显示,知名 DeFi 流动性质押协议 KelpDAO 于 2026 年 4 月 18 日前后遭受一起规模高达 2.9 亿美元的加密货币盗窃事件。初步归因指向朝鲜国家支持的黑客组织 La
阅读全文警方揭穿“炒股专用手机”骗局,“免费赠机”实为杀猪盘
4 月 22 日消息,据央视新闻今日报道,如今诈骗套路迎来升级,诈骗团伙不止送刮刮卡、赠小礼品,还主动给老人寄去“炒股专用手机”。山东济南警方通过一笔 9.3 万元的涉诈资金,找到了当事人李女士,现场
阅读全文Windows 截图工具NTLM哈希泄露漏洞PoC利用代码公开
网络安全研究人员已公开针对微软截图工具(Snipping Tool)新漏洞的概念验证(PoC)利用代码,攻击者可通过诱导用户访问恶意网页,悄无声息地窃取其Net-NTLM凭证哈希值。该漏洞编号为CVE
阅读全文Bu-SubdomainX - 高效的子域名枚举工具,支持多线程扫描、自定义字典和实时结果输出
工具介绍Bu-SubdomainX - 子域名枚举工具Bu-SubdomainX 是一个高效的子域名枚举工具,支持多线程扫描和自定义字典,用于渗透测试和安全评估。功能特点✅ 多线程扫描,提高枚举速度✅
阅读全文提示注入新威胁:Claude Code、Gemini CLI和Copilot Agent均中招
导语:安全研究人员近日发现,GitHub Actions平台上部署最广泛的三款AI Agent均存在提示注入(Prompt Injection)漏洞。攻击者只需在PR标题、Issue正文或评论中植入恶
阅读全文