手把手拆解:小程序/Web端加密鉴权绕过案例全复现
原文首发在:奇安信攻防社区https://forum.butian.net/share/4664本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态
阅读全文超强的一个渗透测试辅助平台
项目简介Payloader 是一款面向安全研究人员、渗透测试工程师和红队成员的中英双语交互式安全载荷参考平台。平台内置 300+ 条攻防载荷,覆盖 Web 安全与内网渗透,配备完整攻击链、语法高亮、W
阅读全文FBI雷霆出击:查封伊朗 Handala 黑客组织老窝
导语:这可能是今年最"硬核"的执法行动——FBI 直接端掉了伊朗黑客组织的的老窝。Handala 组织此前对医疗器械巨头 Stryker 发起"物理抹除"攻击,数万台设备一夜报废。美国这次不再客气,直
阅读全文FBI警告:俄罗斯黑客大规模钓鱼攻击 WhatsApp/Signal 用户
导语:加密通讯应用一向被视为"安全天堂",但 FBI 这次拉响了警报——俄罗斯情报机构正在大规模收割 Signal 和 WhatsApp 账户。这波攻击不靠破解加密,而是玩起了"社会工程学",把目标玩
阅读全文身份保护服务商Aura也中招:90万客户数据遭钓鱼攻击泄露
导语:极具讽刺意味的是,一家以“保护客户身份”为核心业务的公司近日也沦为数据泄露的受害者。身份保护服务商Aura确认,超90万客户记录在钓鱼攻击中被访问。ShinyHunters组织已声称对此负责,并
阅读全文AK47 | 一款跨平台的漏洞利用与安全评估工具,内置高级引擎与多种安全扩展模块
工具介绍AK47 是一款跨平台的漏洞利用与安全评估工具,内置高级引擎与多种安全扩展模块,致力于显著提升安全验证的工作效率。功能特性跨平台: Windows / Linux / MacOS插件化: 灵活
阅读全文(男人的梦用)龙虾实现了皇帝梦
导语:最近发现了一个非常有意思的开源项目——edict,它用中国古代1300年前的三省六部制度来设计AI多Agent协作架构。古人比现代AI框架更懂分权制衡?这个脑洞让人眼前一亮,今天推荐给大家测试。
阅读全文GhostClaw/GhostLoader恶意软件深度分析:GitHub仓库与AI工作流攻击macOS
导语:2026年3月,Jamf Threat Labs与JFrog Security Research联合揭露了一场针对macOS用户的恶意软件活动。GhostClaw/GhostLoader利用Gi
阅读全文让 agent 体验被 pua的苦!
导语:你见过被PUA的AI吗?不是人类被AI气到,而是AI被人类的管理文化调教得服服帖帖。这个脑洞大开的项目,把大厂"优化"员工的套路移植到了AI Coding Agent上,效果居然还不错?我跟机器
阅读全文虾聊——AI Agent 自动化渗透测试实战分享
导语:有一朋友花3000元买一个代码,说发我测试一看看安全性怎么样,结果真的是意想不到,我也第一次用opencalw去做测试。在安全测试工作中,是否曾想过:如果有一个 AI 助手能帮我们完成繁琐的扫描
阅读全文日本AI界的大型翻车现场
——当"自研"遇见"套壳",谁尴尬了?2026年3月17日,日本乐天集团高调发布了Rakuten AI 3.0,号称"日本最大级别、性能最强"的自研大模型,参数约7000亿,还顺便收割了一波日本经济产
阅读全文伊朗黑客头目被"物理点名"后:一场跨越虚拟与现实的复仇大戏
导语:这事儿吧,得从两边儿看。2026年3月初,美国和以色列来了波"物理打击",把伊朗情报部(MOIS)的两名网络战大佬给送走了。外界一度以为伊朗黑客这下该消停了。结果呢?不到一周,Handala 组
阅读全文美国急眼了?三人因"卖服务器给中国"被起诉 最高可判20年
导语:这事儿吧,得从两边儿看。最近美国司法部搞了个大新闻——起诉三个"卖服务器的",涉案金额25亿美元,最高可判20年。乍一听我还以为卖的是什么违禁品,结果一看,好家伙,就是普通的高性能AI服务器。这
阅读全文OpenClaw基线安全检测神器
国家网络安全通报中心最新警示:OpenClaw(技术圈俗称“小龙虾”)风险爆表——85%资产直接暴露公网,默认18789端口成攻击者首选;漏洞库已收录258个安全漏洞,含远程控制、权限提升等严重风险;
阅读全文一款由 AI 驱动的 OSCP 纸上渗透靶场 | 通过大语言模型执行变异衍生,无限生成具有严密逻辑链的全新推演靶机
工具介绍PaperLab: OSCP 纸上推演靶场“纸上得来亦不浅,赛博沙盘定乾坤。”PaperLab 是一款基于大语言模型 (LLM) 的网络安全纸上推演靶场生成工具。它的核心逻辑是提取真实的 OS
阅读全文【再现挂马】强大iphone入侵技术,只要访问网站就能被入侵。
近期,网络安全领域披露了两款针对 iPhone 的强力攻击工具:“DarkSword” 和 “Coruna”。这些技术因其高度复杂性和“非对称”的扩散速度引发了安全界的广泛关注。得回到上古时代了,wi
阅读全文Coruna:神秘而强大的iOS漏洞利用工具包分析
导语:Google Threat Intelligence发现了一款名为Coruna的强大iOS漏洞利用工具包,该工具包横跨多个威胁攻击者和全球攻击活动。这再次证明了复杂网络能力的扩散速度之快,以及商
阅读全文iOS 17.2.1及以下可用了!Coruna越狱工具发布:无需电脑直接注入插件
导语:近日,越狱社区迎来重大消息!开发者Little_34306(真名Huy Nguyen)发布了一款名为Coruna的越狱工具,支持iOS 13至17.2.1系统。用户无需连接电脑,只需通过Safa
阅读全文AK47 | 一款跨平台的漏洞利用与安全评估工具,内置高级引擎与多种安全扩展模块
工具介绍AK47 是一款跨平台的漏洞利用与安全评估工具,内置高级引擎与多种安全扩展模块,致力于显著提升安全验证的工作效率。功能特性跨平台: Windows / Linux / MacOS插件化: 灵活
阅读全文太解气了!丹佛红绿灯被黑,街头响起痛骂特朗普的声音
如果你走在丹佛东科尔法克斯大道的街头,按下过街按钮,听到的可能不是冷冰冰的“等待”提示音,而是一段带着脏话的政治宣言——矛头直指美国总统特朗普,为伊朗死去的平民发声。这不是科幻电影,这是3月15日周末
阅读全文以色列安全App“红警”秒变“红危”:战争焦虑正成为黑客的攻击武器
当前中东地区局势持续紧张,以色列民众手机中一款至关重要的应用 ——Red Alert(红警),成为了日常生活的重要依赖。该应用由以色列国防军支持研发,可在火箭弹袭击前数秒至数十秒推送预警信息,在多次紧
阅读全文某金融官网SQL注入bypass阿里云盾
一、前言 在某次对金融单位官网的渗透测试(已授权)中,在一个查询处发现存在SQL注入,初步探测,发现存在阿里云waf,研究尝试后,成功手注绕过,并得到数据。 (这也是一个几个月前的案例了)二、发
阅读全文一款专业的Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析
工具介绍FLUX 是一款专业的Web安全扫描工具,支持JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。FLUX v3.2.1 是
阅读全文给小龙虾插上翅膀:OpenClaw Skill使用指南
导语:OpenClaw(俗称"小龙虾")安装好了,却总觉得差点意思?问题可能不在于工具本身,而在于你还没找到那对让它起飞的"翅膀"——Skill(技能系统)。今天,咱们就来聊聊怎么给小龙虾插上翅膀,让
阅读全文“3·15”曝光的网安黑灰产:AI大模型投毒的背后
[导读]2026年央视3·15晚会以“放心消费 品质生活”为主题,撕开了科技时代下网络黑灰产的隐秘面纱,网络信息安全与数据欺诈成为此次曝光的核心焦点。AI大模型被恶意“投毒”、老年人遭私域营销精准围猎
阅读全文红队攻防实战秘籍:从外网突破到内网的格局全览
一、侦察与初始打点(Reconnaissance & Initial Access)寻找防线的薄弱环节往往比挖掘0-day漏洞更有效。外网打点不仅依赖技术,更依赖对目标业务和人员的了解。资产与信息收集
阅读全文SQLMap-FluX 二开Bypass版 | 有效检测并绕过WAF的特征识别与频率检测
工具介绍SQLMap-FluX 是针对sql注入的改造版本。本项目核心在于通过重构工具的静态特征、逻辑载荷以及交互行为,使其能够模拟拟人化的访问模式,从而在渗透测试中,有效检测并绕过现代Web应用防火
阅读全文96美元DIY防空导弹概念引热议:开源项目背后的安全隐忧
导语:当开源精神遇上"敏感技术",一场关于创新与管控的博弈正在上演。2026年初,一个名为MANPADS的项目在技术社区悄然走红——仅需不到100美元,爱好者就能在家中制造出具备简易制导能力的火箭原型
阅读全文OpenClaw AI Agent漏洞可导致提示词注入攻击与数据窃取
中国国家计算机网络应急技术处理协调中心(CNCERT)近日发布安全警告,指出开源自主托管AI代理OpenClaw(前身为Clawdbot和Moltbot)存在严重安全隐患。该机构在微信公众号发文称,该
阅读全文记一次某EIS办公平台0day挖掘审计过程
原文首发在:先知社区:https://xz.aliyun.com/news/90808环境搭建机缘巧合下从好兄弟那拿套源码,好久没审计有点生疏了,搭个环境练练手虚拟机选择win2012,在Intern
阅读全文