国家水务部门遭勒索攻击:上千个系统遭破坏 IT全面瘫痪
罗马尼亚国家水务管理局遭严重勒索软件攻击,全国流域管理机构几乎全部受影响,上千个系统被破坏,IT全面瘫痪,不过官方称OT相关能力未受影响。罗马尼亚国家网络安全局确认,该国水资源管理部门遭遇一起重大勒索
阅读全文北方阴影:揭秘朝鲜错综复杂的网络基础设施体系
一项最新联合调查揭露了支撑朝鲜最臭名昭著网络行动的复杂重叠基础设施。Hunt.io与Acronis威胁研究团队的研究人员联手绘制了朝鲜民主主义人民共和国(DPRK)的网络作战架构,揭示出一个间谍活动、
阅读全文美国战争部的新大脑:GenAI.mil
12月9日,一段发布在 X 上的视频,把“GenAI.mil”推到了台前。视频中,国防部长 Pete Hegseth 宣布:五角大楼将以 GenAI.mil 作为“军方专用的生成式 AI 平台入口”,
阅读全文实战中内网穿透的 50 种打法!
内网穿透已从 “技术刚需” 演变为 “基础运维能力”。它本质是通过技术手段打破内网与公网的隔离边界,实现外部合法终端对内部资源的可控访问,但实战中需平衡 “便捷性” 与 “安全性”,避免沦为网络攻击的
阅读全文豪掷近700亿元押注云上AI+安全!Palo Alto迎战网络安全变革期
Palo Alto与谷歌云达成重大合作,未来几年将向其支付近百亿美元,以购买谷歌云与AI服务资源,将旗下产品全面集成谷歌云平台、AI平台、Gemini大模型等,并投入开发AI相关的新产品服务;据悉,P
阅读全文MITRE发布2025年ATT&CK网络安全产品评测结果
MITRE已正式发布2025年 ATT&CK 企业级网络安全产品评测结果。今年共有11家安全厂商参与评测,部分厂商对外强调其在特定评测维度中实现了100%的检测率或防护覆盖率。01参与厂商与评测背景2
阅读全文2025年安全团队必备的40款开源安全工具
开源安全软件是安全团队获得兼具灵活、透明、强大、免费的安全工具的主要途径。本文汇总的40款免费工具可帮助安全团队解决各种问题,从管理大型环境到发现配置错误,再到了解新技术如何改变威胁暴露面。01Aeg
阅读全文漏洞挖掘:众测src测试姿势总结
导语最近在打众测和src,也挖到一下洞,这里分享一些我的测试流程和思路,希望能帮助各位师傅提供新的思路,共同学习,共同进步。支付漏洞支付漏洞是渗透测试的常客了,只要是商城的资产,支付漏洞一定是第一要测
阅读全文110毫秒的真相:亚马逊如何利用"延迟"捕获朝鲜间谍
电子商务与科技巨头亚马逊近日披露了其主动打击朝鲜黑客行动的努力。此前有大量证据表明,这些黑客组织一直在利用亚利桑那州的所谓"笔记本电脑农场"作为渗透美国企业的跳板。他们伪装成合法求职者获取远程职位,进
阅读全文委内瑞拉国家石油公司被黑:疑似运营瘫痪 石油出口中断
委内瑞拉国家石油公司上周末遭受网络攻击,多家外媒称其所有系统均已离线,主要原油码头的系统无法使用,出口业务或中断,该公司发表声明否认这一说法,称仅管理系统受影响,运营未受任何影响,并指责美国为幕后黑手
阅读全文30 个渗透实战技巧 从弱口令爆破到权限提升全攻略!
本文分享的 30 个实战技巧,均面向企业安全运维与合法渗透测试场景,旨在帮助安全从业者提升防御能力,而非提供攻击工具。第一部分:弱口令爆破实战技巧弱口令是网络安全的 “头号漏洞”,实战中需兼顾 “高效
阅读全文综合性 WebShell 管理平台 | 内存马注入、命令执行、文件管理和代理等高级功能
工具介绍TL-NodeJsShell 是一个为安全专业人员和渗透测试人员设计的综合性 WebShell 管理平台。它提供了一个现代化的 Web 界面,用于管理基于 Node.js 的 Shell,具有
阅读全文音乐流媒体巨头遭网络攻击,近三千万用户数据泄露
德国音频流媒体巨头SoundCloud披露,内部某个辅助服务遭到未授权访问,约20%的用户的邮箱和个人资料公开信息被窃取,据估计可能涉及约2800万个账号;SoundCloud采取响应措施时出现误伤,
阅读全文被马斯克裁掉的网络安全岗位,又被特朗普安排上了
“美国科技部队”的成立标志着硅谷科技公司正在走入政治舞台的中央,成为政府职能部门的一部分,在特朗普的支持下清洗并接管美国的数字社会治理大权。在一场轰轰烈烈的“降本增效”、“去肥增肌”运动后,美国联邦政
阅读全文攻击者利用React2Shell漏洞部署Linux后门程序,日本成重点攻击目标
根据Palo Alto Networks Unit 42和NTT Security的研究发现,威胁行为者正在利用名为React2Shell的安全漏洞传播KSwapDoor和ZnDoor等恶意软件家族。
阅读全文某次演练过程中一个有趣的记录 | 某vue网站测试
记录在某次演练的过程中一个有趣的记录。文章作者:先知社区(Asen)参考来源:https://xz.aliyun.com/news/193781►正文还是开局一个登录框,先看看是什么指纹发现是Vue的
阅读全文OpenAI 预警:新模型将具备高级网络攻击能力
人工智能模型在网络安全领域的能力正以超乎预期的速度迭代。OpenAI近日披露的信息显示,其AI模型通过“夺旗”(CTF)挑战的评估能力,已从2025年8月GPT-5的27%跃升至11月GPT-5.1-
阅读全文至少148亿元!近三年受害企业支付勒索软件赎金金额创新高
据美国财政部下属机构统计,2022-2024年期间,受害企业仅通过美国金融机构,就至少向勒索软件组织支付了超148亿元赎金,创下历史新高。美国财政部下属的金融犯罪执法网络(FinCEN)近日发布一份基
阅读全文内存马查杀 8 种关键思路,少走 99% 弯路!
内存马作为 “无文件攻击” 的核心载体,凭借 “驻留内存、不落地文件” 的特性,成为渗透测试与恶意攻击中绕开传统杀毒软件的常用手段。其本质是通过代码注入、动态加载等方式,在目标进程内存中植入可执行代码
阅读全文一款聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取、js资源扫描、目录扫描、vue组件扫描
工具介绍superSearchPlus-Tools这是一款聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取、js资源扫描、目录扫描、vue组件扫描,整合了目前常见的资产测绘平台,
阅读全文CrowdStrike推出首个AI检测与响应 (AIDR) 产品,想开创AI保护新赛道
CrowdStrike声称,Falcon AIDR是目前最全面的AI安全保护方案,支持从数据、模型、智能体、身份、基础设施到交互的全环节防护,从开发、部署到员工使用的全周期防护;如同EDR开创了现代终
阅读全文NVIDIA Merlin框架存在反序列化漏洞,可致AI管道遭RCE攻击
NVIDIA已针对其Merlin框架发布重要安全更新,修复了可能允许攻击者在AI推荐系统管道中执行恶意代码或篡改敏感数据的高危漏洞。此次补丁主要修复运行在Linux系统上的两个关键组件——NVTabu
阅读全文AI生成代码的五大安全关卡:人类监督仍是关键一环
在使用大语言模型(LLM)编写安全代码时,开发者必须具备安全技能,将AI视为协作助手,而非完全自主的工具。否则,AI带来的便利可能掩盖潜在的安全隐患。01AI生成代码的风险:效率的背后是漏洞的扩散自从
阅读全文Wireshark在渗透测试实战中的 30 个分析技巧
Wireshark 作为网络分析领域的 “瑞士军刀”,凭借其开源免费、功能强大的特性,成为网络安全工程师、渗透测试人员及运维人员排查网络问题、检测攻击行为的核心工具。一、精准获取关键流量Wiresha
阅读全文知名成人网站 PornHub 被曝用户数据泄露|获官方推荐的 Chrome 扩展暗中窃取数百万用户 AI 聊天记录
关键词数据泄露此次事件并非 PornHub 自身系统遭到入侵,而是其曾使用的数据分析服务商 Mixpanel 发生安全事件,导致大量客户数据被黑客窃取。据披露,发动此次攻击的是勒索软件团伙 Shiny
阅读全文红线预警!未来安全绝不妥协:所有 AI 浏览器必须全面阻断!
Gartner 最新警告显示,对大多数组织而言,使用“智能体浏览器”(Agentic Browsers)依然过于危险,应在可预见的未来全面禁止。这份名为《网络安全必须暂时阻断 AI 浏览器》(Cybe
阅读全文2025年最危险的25个软件漏洞
近日,MITRE公司联合美国国土安全系统工程与开发研究所(HSSEDI)及网络安全与基础设施安全局(CISA),正式发布了2025年“最危险的25种软件漏洞”(CWE Top 25)榜单。该榜单基于2
阅读全文牛逼的 POC 漏洞检测模板管理工具 | 支持 Windows、macOS、Linux 多平台
工具介绍SerenNP Manager牛逼的 POC 漏洞检测模板管理工具基于 Go + Wails 构建,支持 Windows、macOS、Linux 多平台下载安装直接下载从 Releases
阅读全文因网络安全合规造假,知名军工软件供应商前员工被刑事诉讼
埃森哲政府服务公司前员工伪造了公司云产品符合FedRAMP及DoD RMF等合规要求的材料,以骗取军方合同,现被起诉将面临数十年的监禁;埃森哲发言人表示,公司在内部审查后主动告知了政府客户,并积极配合
阅读全文SEO的天花板:大量美国政府网站沦为“黄网”与黑产温床
当你在美国政府官网搜索“市议会纪要”时,跳出来的却是一份长达三页的“AI脱衣软件”指南或“动物性玩偶”购买链接。这不是《黑镜》的剧情,而是正在美国数十个政府和高校网站上演的荒诞现实。在新泽西州欧文顿市
阅读全文