记一次对母校的漏洞挖掘经历
声明本文仅供学习和研究网络安全技术。反对一切危害网络安全的行为。造成法律后果自行负责注:本文漏洞均在取得授权情况下进行渗透测试后得到,且截止文章发布本文文章所有漏洞均已修复前言前段时间,刚好大三的学长
阅读全文漏洞管理平台 | 支持Excel格式的漏洞扫描报告导入、智能关联资产、漏洞可视化管理
工具介绍一个基于Python Flask开发的漏洞管理平台,支持导入Excel格式的漏洞扫描报告,智能关联资产信息,实现漏洞的可视化管理。功能特点1. Excel报告导入支持多种漏扫平台导出的Exce
阅读全文官方提醒:警惕发票陷阱!境外黑客借邮箱植入木马;|地缘冲突外溢:以色列摧毁伊朗网络战指挥中心,中东网络冲突升级
官方提醒:警惕发票陷阱!境外黑客借邮箱植入木马;据央视新闻报道,国家安全机关已侦破多起境外黑客组织利用发票钓鱼邮件实施网络窃密的案件,提醒公众警惕此类隐藏在邮箱中的窃密风险,这类邮件一旦被点击,设备可
阅读全文维基百科遭遇JavaScript蠕虫攻击:用户脚本成攻击载体
导语:全球知名的维基百科平台近日遭受了一次罕见的自我传播JavaScript蠕虫攻击。恶意代码通过wiki平台的用户脚本机制在多个维基项目间传播,篡改页面内容并插入破坏性脚本。这一事件暴露了用户生成脚
阅读全文Bing AI推荐假冒OpenClaw仓库,信息窃取恶意软件正在蔓延
导语:Microsoft Bing AI的增强搜索功能意外成为恶意软件的传播渠道。威胁行为者利用假冒的OpenClaw GitHub仓库,通过Bing AI推荐触达用户,传播Atomic Steale
阅读全文实战攻防演练期间,你必备的30条红队打点思路!
从边缘突破到核心渗透的完整攻击链构建,在攻防演练中,红队的首要任务是快速建立有效攻击据点。本文基于项目经验,提炼出30条经过实战验证的打点思路,覆盖信息收集、漏洞利用、权限提升等关键环节,供参考。一、
阅读全文伊朗无人机袭击亚马逊海湾数据中心,云服务中断;|巴基斯坦多个重点电视台卫星信号遭劫持,播放反军队内容
伊朗无人机袭击亚马逊海湾数据中心,云服务中断;伊朗无人机本周袭击了亚马逊在阿联酋和巴林的三座数据中心设施,导致中东部分地区云服务中断,地区紧张局势持续升级。亚马逊称,阿联酋两座数据中心被无人机”直接击
阅读全文“零知识”神话破灭:研究人员用27种攻击可攻破主流密码管理软件
1、密码管理器不安全了;2、攻击手法不复杂,总共就三招;3、普通用户必须要用好软件密钥和硬件密钥。我们常被告知,将密码存储在云端密码管理器中是安全的。厂商会用 “零知识加密” 向你保证:即使是公司自己
阅读全文记一次某大型oa前台0day挖掘
原文首发在:先知社区原文链接:https://xz.aliyun.com/news/91624漏洞sink发现(任意zip文件下载)1.想要寻找文件下载相关的漏洞,自然的联想到下载相关的请求头写法:r
阅读全文渗透测试Payload速查平台 | XSS/SQLi/SSRF/RCE | React+TypeScript
工具介绍Payloader 是一个中英双语的交互式安全载荷参考平台,面向安全研究人员、渗透测试工程师和红队成员。项目汇集了 300+ 条精心编排的攻防载荷,涵盖 Web 应用安全与内网渗透两大领域,每
阅读全文伊朗最高领袖之死幕后:首都摄像头、通信、基站长年被深度渗透控制;
以色列已构建出针对伊朗的“全知级”目标情报,能像了解自己一样掌控德黑兰的动向,通过网络入侵与人力情报完全锁定哈梅内伊行踪;在暗杀哈梅内伊多年前,以色列就入侵了德黑兰的交通摄像头,长年监控其保镖司机等关
阅读全文开源AI平台CyberStrikeAI被武器化:55国Fortinet设备遭遇大规模攻击
当AI安全测试工具落入恶意攻击者手中,网络安全攻防的天平正在发生根本性倾斜。Team Cymru的最新分析揭示了一个令人警醒的现实:开源AI平台正在被系统性地武器化,成为国家级威胁行为体的得力助手。事
阅读全文深度解读:为何“意图检测”是跑赢AI威胁的唯一解?
当黑客无需编程基础即可借助大语言模型(LLM)批量生成钓鱼邮件,甚至在数分钟内制造出恶意软件变种时,您是否察觉到手中的防御工具正日渐式微?面对每日数以万计的安全告警,即便防火墙规则集不断扩充,威胁仍能
阅读全文实战!30条网络安全应急响应核心技巧!
一、应急响应:网络安全的最后防线应急响应绝非简单的“救火”,它是企业面对已突破防御的威胁时,为最大限度减少损失、加速恢复而采取的系统性、纪律性行动集合。黄金时间法则: 网络安全事件中,最初的数小时至数
阅读全文OpenClaw高危漏洞ClawJacked深度解析:当浏览器成为内网渗透的跳板
导语:一个未配置速率限制的WebSocket端点,一次静默的设备注册,竟能让恶意网站获得你本地AI Agent的完全控制权。这不是科幻,而是OpenClaw曝光的高危漏洞ClawJacked的真实攻击
阅读全文Chrome高危零日漏洞CVE-2026-0628深度分析:恶意扩展如何借AI之势窃取你的本地文件
导语:当Google将Gemini AI深度集成进Chrome浏览器时,一个潜藏的安全隐患正在悄然发酵。Palo Alto Networks Unit 42团队最新披露的高危漏洞CVE-2026-06
阅读全文供应链核爆:朝鲜黑客26个npm恶意包背后的隐写术与死信投递
当你的npm install下载的不仅是代码,还有一套完整的国家级监控套件——Pastebin上的计算机科学论文里,隐写着通往平壤的命令通道。2026年3月,网络安全研究机构Socket与kmsec.
阅读全文adb未授权web管理神器
工具简介一个轻量级的安卓设备 Web 管理与调试工具。提供设备列表、无线连接、一次性命令执行、交互式终端、文件管理、截屏、以及联系人/短信/定位/WiFi 等信息查看。工具特性设备管理:列出已连接设备
阅读全文当导弹落下,网络攻击的倒计时已经开始,伊朗网络报复威胁全面升级
导读:当导弹落下,网络攻击的倒计时已经开始。这不是预言,而是正在逼近的现实。一、地缘政治风暴:网络战成为延伸战场2026年初,美以联合对伊朗核设施发动军事打击,中东局势骤然升级。但军事行动的硝烟还未散
阅读全文2025年全球网络犯罪成本将突破10.5万亿美元:这场数字战争中没有人能幸免
导读:如果你还在为年度安全预算发愁,这个数字可能会让你彻夜难眠。导语:一个天文数字的诞生2024年末,Cybercrime Magazine 发布了一份让整个安全圈为之震动的年度预测报告:到2025年
阅读全文【网络安全】700GB核心数据遭黑客"撕票"式泄露网络安全事件分析
700GB核心数据遭黑客"撕票"式泄露网络安全事件分析一、事件概述2026年2月24日,马年春节假期后的第一个工作日,中国某大型国有汽车制造企业遭遇了一场严重的网络安全事件。新兴的双重勒索黑客组织 B
阅读全文一款轻量便捷的 Windows 应急响应辅助工具
工具介绍WG-Win-Check 是一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具,目前 64 位版本大小仅 600 余Kb,旨在以轻量便捷的特性,通过多维度的系统
阅读全文美国发动网络攻击侵占全球虚拟资产,收割超300亿美元;|重大威胁:黑客滥用Claude发动ClickFix攻击,超万人已中招!
美国发动网络攻击侵占全球虚拟资产;2026年2月26日,近期,中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室以及360数字安全集团、安天科技集团股份有限公司联合发布报告《头号玩家”—
阅读全文Anthropic指控中国AI公司“蒸馏攻击”,马斯克反讽:小偷还双标起来了?
2026年2月24日,美国AI独角兽Anthropic通过官方推文与博客同步发声,直指DeepSeek、月之暗面、MiniMax三家中国AI实验室,对其旗舰模型Claude实施“工业级规模的蒸馏攻击”
阅读全文APP全面渗透测试方案
APP渗透测试作为保障APP安全的重要手段,对于发现潜在的安全漏洞、提升APP的安全性具有重要意义。本文将详细分析APP渗透测试的方案,包括测试目标、测试范围、测试方法、测试流程、测试工具以及测试报告
阅读全文一款专业的文件上传漏洞检测工具,支持263+绕过技术、代理抓包、动态扫描
工具介绍UploadRanger v1.0.0一款专业的文件上传漏洞检测工具,支持多种绕过技术检测和自动化扫描。专业的文件上传漏洞检测工具,支持263+绕过技术、代理抓包、动态扫描功能特性智能扫描:自
阅读全文黑客用 DeepSeek、Claude 把攻击做成了“流水线”,全球批量攻击FortiGate设备;OpenClaw 被大规模利用,3万实例沦陷;
黑客用 DeepSeek、Claude 把攻击做成了“流水线”,全球批量攻击FortiGate设备;黑客正利用DeepSeek和Claude来自动化、流水线、高频率、大规模地攻击全球的FortiGat
阅读全文警惕!AI辅助开发的窃密木马Arkanix Stealer曝光:22款浏览器钱包无一幸免
导语:一款名为 Arkanix Stealer 的新型信息窃取恶意软件正在暗网大肆推广,更令人震惊的是——它是由AI辅助开发的。这款木马能窃取22款浏览器的加密货币钱包、VPN账号、社交平台凭证,甚至
阅读全文Frida 脚本无 Root 一键持久化方案
最近在开发某款 APP 的功能扩展时,我使用 Frida 编写了大量逻辑,但不想再逐行翻译成 Xposed 代码。于是决定将 Frida 直接固化到 APP 中。最初尝试使用 frida-gadget
阅读全文蛙池AI 一款无门槛渗透测试神器!
作为从业多年的渗透测试工程师,日常离不开数据包分析、payload构造,常常在各类工具间切换,忙碌却效率一般,这也是很多同行的共性困扰。手工漏洞挖掘流程繁琐,数据包捕获、分析到payload验证,需要
阅读全文