开发者必备神器!这个工具帮你一眼看穿任何代码项目
前两天有个读者私信我,说刚跳槽到新公司,领导让他接手一个离职同事的项目。打开代码仓库一看,心态崩了——几十个文件夹层层嵌套,几百个文件散落各处,import 来 import 去,完全搞不清谁调用了谁
阅读全文安卓逆向 -- 某度加固检测部分分析
样本libbaiduprotect.so脱壳与修复解密操作在initarray的前2个函数,第二个函数存在一些反调试且被混淆了,但是简单动调就能明白只是做了一些解密操作选择合适时机 直接内存dump出
阅读全文施耐德 M580 工业控制器固件安全分析与解密研究
招新小广告CTF组诚招web、re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 admin@chamd5.org(带上简历和
阅读全文性能怪兽级日志可视化工具
🌟 一句话卖点“超大日志文件秒级打开、节点状态实时可视、正则搜索即刻高亮——性能、交互、体验全拉满!”📊 功能速览模块亮点性能/体验指标日志分析可视化任务流程、节点状态实时展示、识别/动作详情卡片、节
阅读全文云安全渗透测试框架 - 支持国际主流云厂商和国内云平台
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文古巴遭遇全国大停电!如何筑牢电力安全防线?
据中国能源网报道,当地时间3月16日,古巴国家电力系统发生全面断电,超过千万人口陷入黑暗。这已是该国近四个月内第三次大规模停电,区域性的轮流限电更是成为常态。此次事件是其电力系统长期积累的脆弱性问题的
阅读全文新增工具导航页,赋能在线挖洞!
今天没有新上的 SRC 活动,今天给大家分享一个平台的更新,先来看看当前 SRC 活动:为了方便测试,在 SRC 平台,增加了工具导航页面,将挖 SRC 的常用工具集成到这里,可以一键跳转:项目库有点
阅读全文漏洞预警 | TOA操作系统命令注入漏洞
0x00 漏洞编号CVE-2026-207590x01 危险等级高危0x02 漏洞概述TOA是日本的一家网络摄像机公司。0x03 漏洞详情CVE-2026-20759漏洞类型:命令注入影响:执行任意命
阅读全文漏洞预警 | 深信服运维安全管理系统远程代码执行漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述深信服运维安全管理系统,侧重于运维安全管理,是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的新一代运维安全审计产
阅读全文工具 | 24adbspy
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介24adbspy是一个轻量级的安卓设备Web管理与调试工具。0x01
阅读全文Web-Fuzzing-Box 模糊测试字典库
概述 Web-Fuzzing-Box 是一个专注于Web安全测试的开源模糊测试字典与Payload集合项目。它由安全研究员gh0stkey维护,旨在为渗透测试人员、安全研究人员和漏洞赏金猎人提供一套全
阅读全文什么时候意识到自己辅导不了孩子的
小小四上初中之前,一直误以为可以辅导她到高考。后来证明这个误会大了,完全没有可能。人的记忆很有特点,随着年龄增长,短期记忆越来越差,但年少时的长期记忆留下的残像很持久。这种持久正是前面那个误会产生的
阅读全文【龙虾报告】美国以色列防御系统效能评估
2026 年2月28日,爆发的美国、以色列与伊朗之间的军事冲突(如“咆哮狮子行动”或“史诗之怒行动”)中,各方部署了涵盖从低成本自杀式无人机到高超音速导弹的先进武器系统。 1. 伊朗攻击型武器 伊朗采
阅读全文【培训】开源情报分析师实战能力培训班-4月成都开班
在人工智能、大数据等前沿技术驱动全球化进程不断深化的今天,开源情报(OSINT)已崛起为国家战略决策与安全保障体系的基石。如何从浩如烟海的公开数据中,精准提炼并加工出高价值的情报成果,已成为我们面临的
阅读全文国家安全部党委召开会议学习贯彻全国两会精神
近日,国家安全部召开部党委会议暨理论学习中心组集体学习,传达学习习近平总书记在全国两会期间的重要讲话和全国两会精神,研究国家安全机关贯彻落实举措。部党委书记、部长陈一新主持会议并讲话。会议指出,今年全
阅读全文通过攻陷合法网站传播的新型iOS漏洞利用工具包DarkSword
DarkSword 是一套完全基于 JavaScript 编写的一键式 iOS 攻击框架,支持 iOS 18.4 至 18.7 版本,通过六个安全漏洞实现从 Safari 远程代码执行到内核权限提升的
阅读全文【龙虾报告】伊朗导弹与⽆⼈机袭击综合报告
数据来源:Critical Threats Project Analysis (2026年3⽉19⽇) 伊朗导弹与⽆⼈机袭击综合报告 (2026年2 ⽉28⽇ - 3⽉17⽇) 【摘要】 本报告汇总了
阅读全文以色列军队安全通信基础设施代码遭泄露
以色列军队安全通信基础设施代码遭泄露据伊朗塔斯尼姆通讯社(Tasnim News Agency)报道,该社于2026年3月19日发布文章《以色列军队安全通信基础设施代码遭泄露》,称以色列国防军(IDF
阅读全文RSAC 2026创新沙盒 | Token Security:机器优先身份安全理念的倡导者
// RSA Conference 2026 将于美国旧金山时间3月23日正式启幕。作为全球网络安全行业创新风向标,一直以来,大会的 Innovation Sandbox(创新沙盒)大赛不断为网
阅读全文只讲干货 | 中国网络安全行业全景深度剖析
翻了一下之前写的公众号文章,单篇最高阅读量3万+,平均单篇阅读量3260,(文末附上了单篇阅读量大于5000的文章)。这些文章都是来自实践的认知、体会及思考,全是干货;将其分类汇总后,发现其内容基本上
阅读全文如何从0写一个FOFA语法生成的skill
字数 1010,阅读大约需 6 分钟前言前言什么时候需要用到大模型如何写好一个 skill使用过程中遇到的问题使用 skillSkill什么时候需要用到大模型最近的趋势好像是什么都交给大模型来解决,
阅读全文给 Agent 写 Skill,写的越详细反而可能效果越差。 最近在一个具体案例上,研究到底应该如何设计极致的 agent skill,挺有启发的。 背景:给 CC 写了一个联网浏览的 skill(教 AI 怎么操作浏览器完成联网任务,包括浏览器自动化),迭代了十几版。 今天让它去小红书搜一个账号,跑出来的过程是这样的:打开首页 → 找搜索框 → 模拟键盘输入 → 点击搜索 → 等加载 → 在结果里找人 → 点错了 → 重新找 → 导航到主页。11 步。 删掉详细指引只留核心思路再跑,直接构造搜索 URL,一次请求拿到结果,3 步搞定。 逐行审 skill 找原因,第一个发现就很典型:之前我写了「像人一样浏览网页」。 本意是希望 Agent 决策方式要像人:目标导向、灵活应变。 但 AI 从执行层面理解了这句话,真的在模拟人的鼠标操作轨迹。改成「像人一样思考」之后,策略性保留了,执行自由了。 继续审,发现这不是唯一的问题。 skill 里还写了「URL 是实现细节,UI 是约定」,本意是防止 AI 凭记忆瞎猜 URL 参数导致出错。 但这句话到了 AI 眼里变成了一条硬规则:优先走 UI 操作。所以它才会老老实实去找搜索框、点按钮,而不是直接构造一个搜索链接。 这两个问题的根源其实是一样的。 写的时候觉得自己在陈述事实,实际上写进去的是经验推断。「防止猜 URL」是合理的考虑,但「所以应该优先 UI」是从这个考虑里推出来的偏好,不是事实本身。 事实只有一条:凭记忆构造的 URL 参数不可靠。 至于该走 UI 还是构造链接,取决于具体场景,AI 完全能自己权衡。 类似的还有把工具分成「你可以用这些通道」让 AI 选。 通道这个词天然有排他性,选了 A 就不走 B。但这些工具完全可以组合使用,是分类框架本身制造了约束。 我们写的 prompt 里,很容易混着两类东西: 1) 技术事实(工具能做什么、有什么限制) 2) 经验推断(怎么分类、什么优先、何时用哪个)。 前者是推理原料,后者是推理天花板。 写的时候这两者感觉一模一样,都像是在提供「有用的信息」,只有跑出问题回头拆,才分得开。 ⬇️ 研究如何引导 Agent 行为的 Prompt 哲学真是一件非常迷人的事情 用什么样的 prompt 能让 AI 符合我们的预期,且具备更强的泛化性,让任务表现更好,是一门学问。 > 本文源自一泽最近一周的 skill 调试实践与 prompt 对话过程,由自建内容创作 skill 自动化写作(感谢 Agent,让我能提升更新频率) > 经一泽校验,以上内容均可信可用
给 Agent 写 Skill,写的越详细反而可能效果越差。 最近在一个具体案例上,研究到底应该如何设计极致的 agent skill,挺有启发的。 背景:给 CC 写了一个联网浏览的 skill(
阅读全文AI武器化、零点击攻击与8亿美金大劫案(近期大瓜汇总)
2025年的黑客圈,安静得有些诡异。没有大规模勒索软件爆发,没有震耳欲聋的数据泄露声明。但在这份"安静"背后,一场更危险的变革正在发生——黑客们不再追求短期破坏,而是像寄生虫一样,悄无声息地住进你的系
阅读全文SQLMap加强版Tamper脚本集合
现在只对常读和星标公众号才展示大图推送,建议大家把”Z2O安全攻防“设为星标,否则可能看不到了!项目简介本项目是一个针对SQLMap开发的加强版Tamper脚本集合(基于Python3.10开发),旨
阅读全文挖了半年SRC颗粒无收
挖了半年SRC颗粒无收?别怀疑自己,你只是踩了“闭门造车”的坑……为此建立了一个src专项圈子,内容包含src漏洞知识库、src挖掘技巧、src视频教程等,一起学习赚赏金技巧,以及专属微信群一起挖洞圈
阅读全文Windows | 利用Lua加载StealC v2窃密攻击活动分析
概述2025年11月,攻击者陆续使用多个Github账号创建十多个钓鱼仓库项目如:apt-intelligence-dashboard/PasswordSecurity/Calculadora/San
阅读全文拆解iOS应用逆向实战中的反调试与反篡改
拆解iOS应用逆向实战中的反调试与反篡改目录应用如何利用iOS侧信道应用如何自检应用如何在附加调试器时自毁应用如何主动破坏自己的崩溃日志应用如何借iOS之手终止自身应用如何持续复检结论这次探索既出于好
阅读全文WgpSec助力顺丰SRC第四届白帽技术沙龙,干货抽奖全都有!
# 顺丰SRC第四届白帽技术沙龙暨2025年度白帽颁奖盛典白帽师傅集合!■ ■ ■03/28星期六各位白帽师傅集合啦!第四届顺丰SRC白帽技术沙龙暨2025年度白帽颁奖典礼一年一度,如约而至!邀请每一
阅读全文作为一个打工人,不喜欢被监控的感觉
将二进制空间安全设为"星标⭐️"第一时间收到文章更新今天一次偶然的机会,从监管者的视角看到了一些信息,如图: 从这份报告的内容、结构和表述方式来看,极大概率是由企业内部部署的“员工行为监控与效能分析
阅读全文