这道面试题,你的思路是什么?
前言一道实习面试场景题:目标存在任意写/读、Fastjson没洞、不出网、jar包部署,你怎么打?思考类似于Fastjson用io链写文件,只不过这里的io链被替换为了任意写/读。既然有Fastjso
阅读全文干货 | HOST碰撞漏洞挖掘技巧
文章来源:转载来源语雀文档,非P喵呜作者本人投稿。如有侵权,请联系删除0x01 前言在实战中,我们总会对一个企业进行资产收集,在这个过程中会收集到许多资产,有域名有 ip但有的时候打开的域名指向的是一
阅读全文收到工资1002415.13元,爱你华为!!!
昨夜,一位华为员工从传统开发岗成功转岗到算法大模型岗,在网上晒出自己100w的工资条并大胆示“爱”,在行业内掀起了阵阵热潮。如今,这股强劲的AI之风,终究还是吹到了后端领域,既是风险,也是机遇。 传统
阅读全文武装你的burpsuite
一款强大的 Web 安全测试插件,集成多种安全测试功能,支持自动化扫描和手动测试。核心功能漏洞扫描• Fastjson 漏洞扫描(支持 DNS、JNDI、回显等多种检测方式)• SQL 注入检测(支持
阅读全文下一个风口就是网络安全,真的很缺人!
今年应该不会有什么金三银四了,目前的形势用紧张都不足以形容,大厂降本增效、中小企业裁员,很多业务都走外包,日子是越来越难。现在这种环境,一份稳定增收的副业已经是刚需了,毕竟多一份收入,就等于多一份退路
阅读全文安全工具被入侵,引发大规模AI供应链投毒
3月24日,微步情报局监测到AI核心组件LiteLLM遭遇大规模供应链投毒,PyPI仓库1.82.7和1.82.8两个版本包含攻击者植入的后门。尽管46分钟恶意版本就被移除,但鉴于其单日300万+次、
阅读全文强推一个永久的渗透测试知识库
想跳槽面试,翻遍全网找大厂真题,要么是三四年前的旧题,要么零散得凑不成体系,连份能参考的面经都没有;护网演练到关键节点,急需某个漏洞的 POC/EXP,在各个群里 “求资源” 求到半夜,拿到的还是过期
阅读全文网安行业要被颠覆了?
红队评估和安全测试的技术与理论正在与人工智能(AI)等新兴技术深度融合。网络安全领域已经不再局限于识别缓冲区溢出或SQL注入漏洞。当前,安全专业人员正致力于探索一个全新的领域:具有推理、适应和学习能力
阅读全文美团。。。竟然可「删除」用户手机内的照片、视频。。。
2026 年 3 月 24 日,“美团删照片”话题登上微博热搜。多名安卓用户在社交平台发帖称,在未进行主动操作的情况下,手机相册中的照片、视频被批量删除,部分用户还称涉及音频以及 PDF、Word 等
阅读全文龙虾OpenClaw又出王炸,全体网安的春天来了!
最近龙虾Openclaw火得一塌糊涂,很多干开发的朋友都在尝鲜。但大多数人只是看热闹,效率没高、收入没涨,现实一点没变。任何工具,能帮我们多赚钱,才是真正有用的。周末用小龙虾帮写爬虫,直接赚了5W。平
阅读全文【已复现】Langflow 远程代码执行漏洞(CVE-2026-33017)
● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Langflow 远程代码执行漏洞漏洞编号QVD-2026-14795,CVE-2026-33017公开时间2026-03-16影响量级万级
阅读全文记一次某大型oa前台0day挖掘
作者:1771593898321415(先知社区)原文:https://xz.aliyun.com/news/91624 漏洞sink发现(任意zip文件下载) 1.想要寻找文件下载相关的漏洞,自然的
阅读全文火爆全网的“龙虾”藏隐患!OpenClaw安全风险必看指南!
最近AI圈最火的词,莫过于“养龙虾”。这里的“龙虾”,不是餐桌上的美味,而是2026年现象级开源AI智能体工具——OpenClaw。短短4个月,它的GitHub星标突破27万,全球独立部署实例超10
阅读全文一款专为红蓝工程师和渗透测试人员打造的跨平台安全工具箱
项目简介 ChiXiao (赤霄) 是一款专为红蓝工程师和渗透测试人员打造的现代化、跨平台安全工具箱。它集成了工具管理、智能研判、资产测绘与攻防辅助等核心功能,旨在解决传统渗透测试中工具分散、环境配
阅读全文【已复现】OpenClaw WebSocket共享令牌权限提升漏洞
● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称OpenClaw WebSocket共享令牌权限提升漏洞漏洞编号QVD-2026-13829公开时间2026-03-13影响量级十万级奇安信
阅读全文96k!建议大家冲一冲这个被严重低估的副业!
最近龙虾Openclaw彻底火了,不少干开发的朋友都在尝鲜,写代码、自动脚本……大家都想拥有一个7×24小时干活的数字员工。AI再火,也要有能落地的变现技能托底。而龙虾OpenClaw加上爬虫,催生了
阅读全文OpenClaw(龙虾)近期高危漏洞&风险大盘点!
近一个月,OpenClaw(昵称“龙虾”)迎来爆发式部署热潮——国家网络与信息安全信息通报中心监测显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中国内活跃资产约2.3万个,主要集中在
阅读全文这个SQL注入有点东西
最近遇到了几个比较有意思的SQL注入,跟各位师傅们分享一下思路和注入方式。前言SQL注入是渗透中比较常见的漏洞类型,注入方式也是多种多样的,但waf和过滤也是多元的,这次和师傅们分享一下最近遇到的几处
阅读全文开源龙虾太野?青藤 WorkClaw 企业版来了:好用不折腾,安全又可控
当“智能体”从聊天走向“代你执行”,企业面对的就不再是“好不好用”,而是“敢不敢接入生产”。OpenClaw(曾用名 ClawdBot、MoltBot)之所以爆火,在于它提供了一个持续存在的AI代理:
阅读全文2026沈阳深蓝一轮HW招录启动!
2026沈阳深蓝一轮HW招录启动诚聘精英,待遇优渥PART.01公司简介沈阳深蓝安全信息科技有限公司于2020年成立至今,是一家专业的安全服务公司;我单位自开展业务,至今已深耕七载。因我司制度完善、技
阅读全文很严重了,年后大家别轻易离职。。
这两年互联网行业都不容易,大厂降本增效、中小企业裁员,很多业务走外包都是常态,日子是真谈不上好过,这就自然而言会想赚点外快。如果想多一份收入,我最近在做的爬虫私活就很不错,只要有耐心三四周就能上手。2
阅读全文某公司的渗透技能考核靶场通关记录
作者:消失的猪猪原文链接:https://xz.aliyun.com/news/176800x0 前言某天,突然基友群发了个东西,一问说是网上别人发的,不知道哪个公司的一个技能考核的靶机环境:这个思路
阅读全文逆向分析某手游基于异常的内存保护
分析一、追踪目标代码进入游戏对局后发现,全局World地址无法读取到正确的数据,查看maps发现该地址vma属性已经被设置成---p既然无法访问,那么进程自身是如何访问的呢?遂在内核接管了下 mpro
阅读全文SQL注入实操详解 从基础语句到绕过WAF!
很多新手对SQL注入的认知,停留在“输入单引号报错”的表面,要么觉得它过时,要么觉得它高深莫测,实操起来无从下手;而一些开发同学,因为对注入原理理解不深,写的代码频频踩坑。其实SQL注入的核心逻辑很
阅读全文今年网安的招聘市场已经疯掉了。。。
以前总以为熬最长的夜、写最多的代码、扛最累的项目,就能拿更高的薪资,可现实却很残酷。其实真正拉开收入差距的不是勤奋,而是认知。就算现在大环境艰难,懂行的人也不是去卷,而是把手里的技术变成实实在在的副业
阅读全文深入浅出 Android Hook 技术:Frida 框架入门系列
PART 01一、Hook 框架概述Hook是一种在程序运行时动态修改或拦截函数调用、参数或返回值的技术。在 Android 安全研究、逆向分析以及自动化测试中,Hook 技术扮演着至关重要的角色。核
阅读全文20个CMS漏洞挖掘技巧,懂一半绝对是高手!
在Web安全领域,CMS(内容管理系统)的应用几乎无处不在——从个人博客、企业官网,到政务平台、电商站点,甚至各类垂直领域的定制化网站,都能看到织梦、WordPress、帝国、ThinkPHP CM
阅读全文强推一个永久的渗透测试知识库
想跳槽面试,翻遍全网找大厂真题,要么是三四年前的旧题,要么零散得凑不成体系,连份能参考的面经都没有;护网演练到关键节点,急需某个漏洞的 POC/EXP,在各个群里 “求资源” 求到半夜,拿到的还是过期
阅读全文Frida 脚本无 Root 一键持久化方案
最近在开发某款 APP 的功能扩展时,我使用 Frida 编写了大量逻辑,但不想再逐行翻译成 Xposed 代码。于是决定将 Frida 直接固化到 APP 中。最初尝试使用 frida-gadget
阅读全文