学习笔记：一文搞懂协议、TCP/IP分层与数据流转

日常开发中，我们经常碰到诸如“抓个包看看”、“是不是丢包了”、“DNS解析出问题了吧”这样的讨论。从你在浏览器敲下 URL，到网页呈现，背后是一场极其精密的数据接力赛。不同厂商的手机、千奇百怪的操

手把手拆解：小程序/Web端加密鉴权绕过案例全复现

原文首发在：奇安信攻防社区https://forum.butian.net/share/4664本文通过六个真实渗透测试案例，深入剖析小程序与Web端常见的加密鉴权机制，手把手演示如何通过反编译、动态

这类漏洞危害有点低，SRC 好像不收录！

今天分享一个被大家忽略的漏洞，地图 API 的 key 泄露问题，目前还有大量网站存在该风险，不过由于危害不足没有得到重视，在此之前，看看今天有哪些 SRC 有活动：系统调用地图 key 是付费的，但

2026年，网安的离职潮彻底消失了。。。

每年不少人拿完年终奖，如果新一年没有涨薪可能，就开始琢磨跳槽了。但今年感觉不太一样，以往都能遇见不少楼梯间悄悄摸摸打电话面试的同事，但今年过完年回来，办公室异常地安静，离职潮好像忽然消失了。为什么大家

red-run：用 Claude Code 搞红队自动化

只干活不给 token，Claude 也会变呆...原文链接作者https://blog.blacklanternsecurity.com/p/red-runKEVIN O'RILEY无论银幕或文字如

利用 Claude Code(+Ghidra, VMware) 实现恶意软件自动化分析

原文链接作者https://zenn.dev/hiyoko_sauna/articles/972b5316bd34f1ひよっこサウナ近年来，攻击者利用 AI 的案例屡见不鲜。这些攻击者的技术水平参差不

铸刃止戈，以智御危｜第二届腾讯云黑客松智能渗透挑战赛等你来战！

⬇️ 点击【阅读原文】，立即报名参与挑战

【SRC实战】JS逆向到成功注入

📝 编者语本文是学习JS逆向课程后的产出——从「怎么每个请求都带个 Sign」开始，一路走到「JS 逆向签名 + 伪造请求 + 成功注入验证」。只做安全研究与授权测试思路分享1开场开场白原本只是路过一

太解气了！丹佛红绿灯被黑，街头响起痛骂特朗普的声音

如果你走在丹佛东科尔法克斯大道的街头，按下过街按钮，听到的可能不是冷冰冰的“等待”提示音，而是一段带着脏话的政治宣言——矛头直指美国总统特朗普，为伊朗死去的平民发声。这不是科幻电影，这是3月15日周末

以色列安全App“红警”秒变“红危”：战争焦虑正成为黑客的攻击武器

当前中东地区局势持续紧张，以色列民众手机中一款至关重要的应用 ——Red Alert（红警），成为了日常生活的重要依赖。该应用由以色列国防军支持研发，可在火箭弹袭击前数秒至数十秒推送预警信息，在多次紧

某金融官网SQL注入bypass阿里云盾

一、前言 在某次对金融单位官网的渗透测试(已授权)中，在一个查询处发现存在SQL注入，初步探测，发现存在阿里云waf，研究尝试后，成功手注绕过，并得到数据。 （这也是一个几个月前的案例了）二、发

一款专业的Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析

工具介绍FLUX 是一款专业的Web安全扫描工具，支持JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。FLUX v3.2.1 是

一款专为红蓝工程师和渗透测试人员打造的跨平台安全工具箱

项目简介 ChiXiao (赤霄) 是一款专为红蓝工程师和渗透测试人员打造的现代化、跨平台安全工具箱。它集成了工具管理、智能研判、资产测绘与攻防辅助等核心功能，旨在解决传统渗透测试中工具分散、环境配

SUCTF 2026 落幕，F1ux战队夺冠！

2026年03月16日09:00，经过48小时激烈比拼，第十届XCTF国际联赛分站赛：SUCTF 2026圆满落幕。本场赛事由XCTF国际联赛主办，SU战队组织&命题，赛宁网安提供技术支持。本场赛事累

LinkedIn(领英)最新高危漏洞披露

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

热度

论文一直投不中？退稿十几次，大牛帮选刊投稿后，被拒的5篇SCI全中了！

在经历过十几次退稿之后，我真心建议需要发表sci论文的老师和同学：不要死磕论文内容！去思考，去找捷径，去找套路！只要找对了方法，发sci论文一点都不难！很多人以为，我把论文写完了，最重要的工作就结束了

误报率80%→10%、两周100+0day......安恒这场“AI原生代码审计”直播藏满硬核干货

春节期间，Anthropic旗下的Cloud Code Security直接掀起网安圈“地震”，AI全自动挖出数百个0day漏洞，网安公司集体股价震荡。3月17日下午，北京赛博英杰科技有限公司创始人谭

谁动了你的“小龙虾”？AI原生代码审计如何提前嗅出OpenClaw的1-click陷阱？

当“自动化”遇上“不设防”：一只“主动投怀送抱”的小龙虾想象一下这个场景：你点开一个看起来人畜无害的网页，还没来得及看清内容，你后台的“小龙虾”（OpenClaw）就已经主动向一个陌生地址伸出了钳子—

edusrc挖掘技巧汇总+信息收集各种姿势

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具

EDR对抗策略概览——攻防博弈的艺术

一、前言概述在上一课中，我们深入了解了EDR的技术原理和工作机制。作为安全从业者，理解EDR如何工作只是第一步，更重要的是理解攻击者如何对抗这些安全措施，从而更好地构建防御体系。本文将系统介绍EDR对

Webshell 管理与后渗透平台

介绍MatouWebshell 是一套基于 Vue 3 + Python 的 Webshell 利用平台。内置 Webshell 生成与连接能力，支持 Linux 目标下的 PHP、JSP、JSPX，

网安原创文章推荐【2026/3/17】

2026-03-17 微信公众号精选安全技术文章总览洞见网安 2026-03-17 0x1 CVE-2026-1312: Django order_by结合FilteredRelation使用导致

一文读懂 .NET 中的全局 Global.asax 文件

在.NET Web开发中，有许多幕后支撑着应用的稳定运行，Global.asax文件便是其中最关键的一员。它藏在应用根目录下，看似低调，却掌控着整个.NET应用的生命周期命脉，是连接框架与业务逻辑的核

从会话管理模式解读 .NET 身份验证绕过漏洞

在Web安全对抗过程中，安全人员往往会聚焦于身份验证逻辑、输入验证、SQL 注入或文件上传等核心高危区域。但一些配置项层面的疏忽，往往隐藏着攻击面更广、危害更持久的风险。本文将聚焦 .NET 的 co

免费白嫖140万AI技能库？复旦团队这次真的把压箱底的东西放出来了

说实话，我第一次看到这个数据的时候，以为是哪个营销号在吹牛。140万+个AI技能？免费开放？复旦团队做的？这三个标签叠在一起，怎么看都像是那种"标题党"的套路。但当我真的点进去逛了一圈，我愣住了——这

2026SUCTF Writeup by Mini-Venom

招新小广告CTF组诚招web、re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 admin@chamd5.org(带上简历和

OpenClaw（龙虾）安全防护 50 条全汇总！

OpenClaw（俗称“龙虾”）作为2026年现象级开源AI执行网关，凭借本地自动化、多模型兼容的核心能力，成为办公、开发、投研等场景的高效工具。但据国家互联网应急中心监测，超27万实例因配置不当暴

漏洞预警 | Google Chromium V8 内存越界漏洞

0x00 漏洞编号CVE-2026-39100x01 危险等级高危0x02 漏洞概述Chromium是由Google主导开发的开源Web浏览器项目，其核心组件包括Blink渲染引擎和V8 JavaSc

漏洞预警 | 深信服运维安全管理系统远程代码执行漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述深信服运维安全管理系统，侧重于运维安全管理，是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的新一代运维安全审计产