新型 Evilginx 前端:降低 token 窃取与复用的门槛
原文链接作者https://newtonpaul.com/blog/evilginx-m365-aitm-panel-research/Newton Paul最近我在威胁狩猎方面收获颇丰,在 C2 狩
阅读全文原文链接作者https://newtonpaul.com/blog/evilginx-m365-aitm-panel-research/Newton Paul最近我在威胁狩猎方面收获颇丰,在 C2 狩
阅读全文2026-05-22 微信公众号精选安全技术文章总览洞见网安 2026-05-22 0x1 前后端分离渗透实战:当API成为盲区,你还在扫目录?昆仑AI安全实验室 2026-05-22 22:54
阅读全文习近平对山西长治市沁源县一煤矿瓦斯爆炸事故作出重要指示强调全力救治伤员 科学组织搜救坚决防范遏制重特大事故发生李强作出批示5月22日19时29分,山西长治市沁源县山西通洲集团留神峪煤业有限公司井下发生
阅读全文逆向工程师的效率革命APK安全智能分析工具V5.3AI正在重塑Android逆向新范式二进制逆向智能分析辅助工具V3.1Android病毒智能检测分析工具V3.6Android逆向智能分析工具(VIP
阅读全文导语:这年头,当个安全运维,不光要修漏洞,还得学会辨别——哪些漏洞是真正的威胁,哪些只是厂商用来刷KPI的。一、NGINX连曝"高危",结果呢?上周,NGINX连续披露了两个让人心跳加速的漏洞:CVE
阅读全文导语:VPN换了、IP变了、应用重启了——你以为Telegram的连接记录就此断开了?错了。独立安全机构Symbolic Software(符号软件)最新技术审查证实,Telegram的MTProto
阅读全文导语:当你需要在Windows系统上研究内核行为时,第一反应大概是掏出WinDbg。但你有没有想过——如果有一个工具,看起来像调试器,实际上却是一个轻量级的内核级内存浏览器,那会是什么体验?kn-li
阅读全文在上篇文章中,我们讲到了基于ESP8266检查锂电池的电压、容量、状态等信息。让我们对设备的状态能实时监测。因为是基于MQTT协议,因此可以轻松地接入小程序和HomeAssistant中。便于我们对数
阅读全文导语:当你在一次物理渗透测试中需要监听目标区域的无线通话时,手头只有一台笔记本电脑和一个RTL-SDR USB棒。面对P25、DMR、TETRA等十几种不同协议,你需要的不是一个又一个工具,而是一个能
阅读全文课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具
阅读全文网络安全行业的技术迭代,从来都不会等人。从早年的基础漏洞挖掘、手动渗透测试,到成熟的攻防对抗、代码审计体系,再到如今AI全面渗透网安全流程,整个行业的核心竞争逻辑,已经发生了彻底改变。如今,Clau
阅读全文一、漏洞概述近期安全研究人员披露了cPanel&WHM 面板存在一处高危任意文件读取漏洞,漏洞编号 CVE‑2026‑29205。cPanel&WHM 是全球广泛使用的主机管理面板,大量云服务商、独
阅读全文不花一分钱,用AI挖洞!三款免费工具横向对比,看看谁更强?前言你想用AI做代码审计,但不想花钱? 本文分享三款完全免费的AI代码审计工具,帮你0成本实现代码审计闭环!AI代码审计不仅能节省时间,还能发
阅读全文漏洞名称:FreeBSD setcred(2) 栈缓冲区溢出漏洞(CVE-2026-45250)组件名称:FreeBSD影响范围:FreeBSD 14.3.* < 14.3-RELEASE-p14Fr
阅读全文感谢北京微步在线科技有限公司(微步在线)在本报告的样本分析工作中做出的重要贡献。一、事件概述近期,CNCERT监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播,样本落地后将Shellcode
阅读全文背景2026 年 5 月开始,知名团伙 TeamPCP 开源了 Shai-Hulud 源码之后,Shai-Hulud/Mini Shai-Hulud 在约一周内完成多条供应链支线的联合攻击,核心逻辑是
阅读全文第二天,钱大姐来了。她看到我终于平安到达香港,很高兴地和我紧紧握手,但是我仍然发现她那饱经忧患布满皱纹的脸上堆着忧虑和不安。她拿出纸烟来点上,深深地吸着,皱着眉头,严肃地看着我。我没有开始汇报前,首
阅读全文有需要测试的APK、网页可以私聊,说出详细的需求即可,有时间就会回复共同学习,vx:ivu123ivu1. 测试概述项目内容测试目标某自助管理平台登录接口前端加密逻辑分析测试类型前端加密算法逆向分析
阅读全文字数 457,阅读大约需 3 分钟前言应用场景:可以应对未对 Lsposed 设置有效检测的大部分的企业抽取壳和免费壳的 Dex 加固项目地址:https://github.com/J5now/JD
阅读全文用 AI 写的文章,读起来总有一股 AI 味,句式工整、用词重复,发布或提交后总担心被检测到。 最近看到的 AI Humanize Text 这个开源工具,专门把 AI 生成的文本改写成更自然的人类
阅读全文威胁简报恶意软件漏洞攻击介绍现代容器安全通常依赖于一个核心假设:“即使容器遭到入侵,宿主机仍然安全。”在这项实验室驱动的分析中,我评估了CVE-2026-31431(Copy-Fail) ——一个 L
阅读全文2026年5月18日,代号"巨齿鲨"(Megalodon)的大规模自动化供应链攻击席卷GitHub平台,在不到六小时内向超过5,500个代码库注入了恶意CI/CD后门,创下GitHub Actions
阅读全文在零窗口期成为常态的今天,"更快打补丁"或"更好打补丁"已不足够。安全团队需要基于**预设失陷模型(assume-breach model)**的新策略:默认入侵必然发生,关键在于实时检测和快速遏制。
阅读全文Apache Flink近日披露一个编号为CVE-2026-35194的高危漏洞,该漏洞通过平台代码生成引擎中的SQL注入缺陷,使分布式数据处理环境面临远程代码执行(RCE)攻击风险。Part01漏洞
阅读全文致力于解决核心身份安全问题的Orchid Security 今日发布《身份鸿沟:2026年现状报告》,揭示当前大多数企业身份信息实际游离于身份与访问管理系统(IAM)的监管范围之外。报告发现,企业环境
阅读全文公安部就《公安机关电子数据取证规则(征求意见稿)》面向社会公开征求意见《公安机关电子数据取证规则(征求意见稿)》公开征求意见的公告为规范公安机关电子数据取证工作,保护公民、组织合法权益,提高执法办案效
阅读全文一、漏洞基本信息• 漏洞类型:任意文件读取(File Disclosure)• 影响产品:WebPros cPanel/WHM、WP Squared(WP2)• CVSS 3.1:8.6(高
阅读全文关键词开盒所谓“开盒”,是指不法分子通过非法手段,将他人的姓名、身份证号、家庭住址乃至出行轨迹等隐私信息,像拆开盒子一样在网络空间公之于众。2026 年 5 月 8 日,最高人民法院将一起涉及非法获取
阅读全文