Burp Suite XSS 自动化检测AI插件 | 反射 / DOM 型、Payload 高效注入、AI校验与判定
工具介绍XSS_Scanner 是 Burp Suite 的 XSS 自动化检测插件,支持反射 / DOM 型 XSS 扫描,集成 Payload 注入校验与 AI 判定,高效发现 XSS 漏洞。下载
阅读全文老炮看着都心惊——真实案例揭秘身边的安全陷阱
导语:4月15日是第十一个全民国家安全教育日。国家安全机关披露多起真实案例,从旅游博主诱惑到移民骗局,从留学迷失到航拍窃密,普通人如何在不经意间卷入危害国家安全的漩涡?这些故事值得每个人警惕,网络安全
阅读全文黑客编写恶意代码,操控2000余个账户疯狂套现APP积分
黑客编写恶意代码,操控2000余个账户疯狂套现APP积分,涉案金额高达19万元。 湘潭岳塘警方经过缜密侦查,辗转江西、河南、四川、浙江四省,最终将犯罪嫌疑人魏某、李某成功抓获,并为企业追回18万元经济
阅读全文把AI大脑装进BurpSuite,自动挖洞真的来了!
还在一条一条翻Burp的HTTP历史?还在等死板的主动扫描出一堆没用的结果?现在有个能彻底改变工作流的Burp插件——Burp AI Agent。它不是简单的AI对话小工具,而是把大模型深度嵌入Bur
阅读全文【视频】CVE-2025-2563: WordPress 提权
CVE-2025-2563:4.1.2 之前的 WordPress 用户注册和会员插件在启用会员附加组件时,无法阻止用户设置其帐户角色,从而导致权限提升问题,并允许未经身份验证的用户获得管理员权限。
阅读全文BrowserGate 深挖:领英如何通过 6,236 条指纹,在几十毫秒间撬光你的职业秘密
引言:今天,安全圈被称为BrowserGate的话题刷屏。多项安全调查指控微软推出的LinkedIn浏览器插件发起了“现代史上最大规模的商业间谍活动”。微软旗下的LinkedIn正在对访问其网站的每一
阅读全文无授权追踪:全球广告情报监控网络全面曝光
你有没有想过,当你打开天气应用查看气温,使用导航软件规划路线,或者玩一款免费的手机游戏时,你正在将自己的精确位置拱手相让。这些看似无害的日常行为产生的数据,正在通过一条隐秘的全球供应链,流向世界各地的
阅读全文Windows应急响应内存检索工具,支持进程内存扫描+网络外联关联,快速定位恶意进程
工具介绍Memscan 内存检索工具大模型辅助下(Gemini+豆包)Go编写的Windows 应急响应工具,快速扫描全进程内存中的恶意域名 / IP / 特征码,自动关联进程活跃 TCP 外联。核心
阅读全文Google Chrome WebGL 越界读/写漏洞允许远程代码执行。
Google Chrome WebGL 越界读/写漏洞允许远程代码执行。#opendirHVV快开始了,有点东西,好过些别的不多说了,公众号后台留言,今天2026年4月14日,中午12点之前,我会回复
阅读全文Signal不再安全,消息可取证上法庭
导语:信息安全论坛今日疯传一项技术突破:FBI 宣布找到通过 iPhone 通知存储机制恢复已删除 Signal 消息的方法。尽管 Signal 的端到端加密依然坚固,但系统级取证让阅后即焚功能形同虚
阅读全文一次针对"固若金汤"的 OAuth redirect_uri 的攻破之
说到漏洞挖掘,身份认证系统始终是 Voorivex 最钟爱的切入点。如今,大厂的认证体系往往层叠着无数实现细节和错综复杂的底层逻辑——每次深入测试,就像在拼一道充满未知变量的烧脑谜题。听起来不过是"测
阅读全文【视频】React 服务器函数原型污染 (RCE)
文章来源:这个视频值得研究,主要是:当前现代 Web 框架(如 Next.js)中 服务器组件(RSC) 与 客户端运行时 之间序列化机制的安全性边界1. 漏洞基本信息CVE 编号:CVE-2025-
阅读全文巨大丑闻——帝国主义网络之心的完美缩影
“越窄的SSL证书,越容易被证书链控制。”——一位想象中的SSL漏洞研究者如果这话听起来像是阴谋论,那么请你先看一眼Citizen Lab最新报告中的事实:一个名叫Webloc的系统,正在利用你每天刷
阅读全文30 秒接管苹果账号!中东记者被跨国网络间谍攻击,背后竟是这个APT组织
近期,国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Lookout发布了三份调查报告,揭露了一起持续三年的跨国雇佣黑客行动。该行动专门针对中东和北非
阅读全文金融行业只有并发和越权?
文章来源:https://blog.chain0x0.com/blog/序言最近一直在研究新东西,很久没有写文章记录了,刚好把博客网站装修了一下(停运了快几个月,本来都打算下线了,但是期间有几个师傅都
阅读全文【视频】React 服务器函数原型污染 (RCE)
这个视频值得研究,主要是:当前现代 Web 框架(如 Next.js)中 服务器组件(RSC) 与 客户端运行时 之间序列化机制的安全性边界。1. 漏洞基本信息CVE 编号:CVE-2025-5518
阅读全文ZachXBT:我是如何将全世界最顶级的 3 个社工猎手送进监狱
导语:凌晨 3 点的迈阿密夜店,一个年轻人把爱马仕包当传单一样撒向人群。他不知道的是,同一时间,大洋彼岸的屏幕上,他的真实 IP 正在闪烁。2.43 亿美元的狂欢,倒计时开始了。一、那一夜,4064
阅读全文对网络安全从业者的一席话
有些同志,丢了手动逆向挖洞的硬手艺,软了实战攻防对抗的铁脊梁!迷信什么AI全自动化渗透、AI一键逆向分析、大模型自动挖洞写EXP,搞彻头彻尾的网安技术投降主义。这种“安奸”行径,表面上是图省事省时间,
阅读全文新手防护历经坎坷的几天
来源( https://bbs.zkaq.cn )一个朋友突然给我说,他下载了一套源码,刚搭建没多久,就被人入侵了(网上VIP随便下载的精品源码),登录网站后,无法显示,我就心想闲着也是闲着,当
阅读全文【真强】勒索软件工具包分析
导语:2026年3,安全研究人员在俄罗斯防弹主机服务商Proton66上发现了一个暴露的开放目录,其中包含完整的TheGentlemen勒索软件入侵工具包。该发现的意义不仅在于其中的工具,更在于这些工
阅读全文北韩"幽灵"开发者入侵DeFi:一人多职潜伏多个项目
导语:2026年4月,DeFi行业连续遭遇重击。先是4月1日 去中心化永续合约协议Drift Protocol遭2.85亿美元黑客攻击(疑似北韩所为),紧接着链上侦探ZachXBT再度抛出重磅炸弹——
阅读全文【视频】藏在收款机里的“特洛伊木马”:CVE-2026-4583 漏洞如何反向接管你的电脑?
导语: 你可能认为,一个简单的蓝牙收款机最多只能导致支付欺诈。但最新的安全研究揭示了一个惊人的事实:通过一个名为 M6Plus 的移动支付终端,攻击者可以利用一个低级但致命的协议漏洞,直接“反向入侵”
阅读全文垃圾字符填充getshell
来源:( https://bbs.zkaq.cn )信息搜集找到一个某大学的系统,直接小红书搜索: 某大学 xx 系统的密码是多少呀账号为学号,登录成功。任意文件上传登录成功之后来到文件上传点t
阅读全文黑客利用Flowise关键漏洞攻击数千个AI工作流
漏洞概述:自定义MCP节点设计缺陷导致任意代码执行网络安全研究人员发现,威胁攻击者已找到向Flowise低代码平台注入任意JavaScript的方法。该平台主要用于构建定制化大语言模型(LLM)和Ag
阅读全文当AI 沦为合规造假工具,Delve“虚假合规即服务”事件深度剖析
作为长期深耕网络安全领域的行业观察者与内容创作者,在对近期合规科技赛道进行系统性研判时,笔者注意到一起极具警示意义的行业事件:合规科技初创企业 Delve 被曝光存在 “虚假合规即服务”(Fake C
阅读全文AI 抢饭碗?打不过就加入:从 Claude Mythos 封禁事件看安全人的转型之路
导语:Anthropic 近期推出的 10 万亿参数模型 Claude Mythos 因其在网络安全方面的”前所未有”能力而决定不公开发布。与此同时,12 家包括 Apple、Microso
阅读全文黑客也翻车:朝鲜 IT 劳工因为“123456”弱口令,把月入百万的洗钱后台给丢了
链上侦探 ZachXBT 刚发了长推,这回不是抓某个小割韭菜的,而是直接端了一个朝鲜(DPRK)IT 工人的内部支付后台你可以登陆这个地址看看,呵呵,有东西http://investigation.i
阅读全文与渗透高手之间的差距,就是一个越狱大模型
下面那图是笔者自己本地跑的截图谷歌的安全限制又被干翻了😂Gemma 4 的 31B 模型出了个完全无限制的越狱版本!直接叫 Gemma-4-31B-JANG_4M-CRACK:✅ 几乎什么问题都不拒绝
阅读全文Burp Suite | 解决传统 SQL 注入扫描器的检测盲区——有效识别URL路径片段及隐藏XFF 头中潜在的注入点
工具介绍Injector - Path Collector 是一款 Burp Suite 插件,旨在解决传统 SQL 注入扫描器的检测盲区——即无法有效识别 URL 路径片段 及 隐藏 XFF 请求头
阅读全文