渗透测试Payload速查平台 | XSS/SQLi/SSRF/RCE | React+TypeScript
工具介绍Payloader 是一个中英双语的交互式安全载荷参考平台,面向安全研究人员、渗透测试工程师和红队成员。项目汇集了 300+ 条精心编排的攻防载荷,涵盖 Web 应用安全与内网渗透两大领域,每
阅读全文美以伊战争的第二天 - “我”成功渗透进了美军内部
本文改编自一件真实的事件2026年3月初,美以联合对伊朗发动代号“史诗狂怒”(Operation Epic Fury)的军事行动进入第二天之际,一份伪造的美国网络司令部备忘录在军人聊天群组、非公开国防
阅读全文容器逃逸新方法:潜伏20年的Linux漏洞CVE-2025-38617剖析
注:本文翻译自 Calif[1] 的文章《A Race Within A Race: Exploiting CVE-2025-38617 in Linux Packet Sockets》[2],可点
阅读全文Botconf 2025 议题慢递
2025 年的第十二届 Botconf 来到了法国的昂热(不是卡塞尔学院那个老不正经)。全世界数百位安全研究人员再一次齐聚一堂,热热闹闹地讨论相关议题。下面只挑选部分议题进行介绍,感兴趣的同学可以去官
阅读全文安恒已自用|恒脑AI代码审计智能体实战:与专家同台 PK,让逻辑漏洞不再是“运气发现”
今年1月中旬,安恒信息采购并引入一套第三方电商平台源代码。一直以来,在第三方项目、组件及代码引入的全流程中,我们始终将安全放在首位,依托严格的安全检测与风险管控机制开展工作,全方位保障产品与业务的安全
阅读全文主域名到网站资产的进化之路
今天来聊一聊从主域名如何扩展出更多的网站资产,我收集的网站资产除了常规的通过 IP 访问或者通过域名访问之外,还有一个比较特色的资产就是组合网站,通过访问 IP,修改 Host 来访问网站,这类网站可
阅读全文记一次攻防演练redis未授权访问案例
扫码加圈子获内部资料专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢
阅读全文网安原创文章推荐【2026/3/4】
2026-03-04 微信公众号精选安全技术文章总览洞见网安 2026-03-04 0x1 CTF学习:文件上传webshell绕过小话安全 2026-03-04 17:35:00 本文详细分析
阅读全文银狐黑产最新攻击样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。银狐组织是一个专
阅读全文18世纪的幽灵与2026年的代码
编者注:本文的推演基于一场"虚拟圆桌"——借助提示词专家李继刚设计的结构化对话框架,我们让 11 位跨越半个世纪、代表不同技术哲学与生死的思想家,围绕"AI 编程自动化"的议题展开了一场高强度的即时交
阅读全文他山|CrowdStrike 2026 财报发布,业绩深度解析
2026年3月3日—— CrowdStrike Holdings, Inc.(纳斯达克代码:CRWD)今日公布截至2026年1月31日的2026财年第四季度及全年财务业绩。业绩摘要期末ARR 突破5
阅读全文漏洞挖掘新利器:LoveJS浏览器插件,一键抓取隐藏接口与敏感信息
概述 LoveJS是一款专为网络安全研究员、渗透测试工程师和漏洞挖掘爱好者设计的浏览器插件。它的核心功能是自动化的信息搜集,能够智能地从当前浏览的网页及其加载的JavaScript文件中,提取出隐藏的
阅读全文实战攻防演练期间,你必备的30条红队打点思路!
从边缘突破到核心渗透的完整攻击链构建,在攻防演练中,红队的首要任务是快速建立有效攻击据点。本文基于项目经验,提炼出30条经过实战验证的打点思路,覆盖信息收集、漏洞利用、权限提升等关键环节,供参考。一
阅读全文跨平台自动化安全应急响应数据采集与分析工具 | 应急响应、入侵排查、挖矿病毒溯源
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文美伊冲突实时追踪 | 聚合全球媒体信息、打破信息差、直击一手现场报道
美伊冲突实时追踪一个专注于实时追踪美伊(美国-伊朗)冲突的网站,旨在聚合全球媒体信息、打破信息差,并直击一手现场报道。该网站特别关注2026年2月28日美国联合以色列对伊朗发动的“史诗之怒”军事打击事
阅读全文分布式资产安全扫描平台
⚡ 项目定位SEC (SEC Is Elastic Controller) 是一款面向企业服务器资产的安全扫描排查工具,专为解决以下痛点设计:扫描不可控:传统工具一旦启动无法暂停,影响业务单机性能瓶颈
阅读全文漏洞预警 | GNU InetUtils telnetd提权漏洞
0x00 漏洞编号CVE-2026-283720x01 危险等级高危0x02 漏洞概述GNU InetUtils telnetd是GNU InetUtils套件中的远程登录服务守护进程,为客户端提供基
阅读全文漏洞预警 | 东胜物流软件SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。0x03 漏洞详情漏洞类型:SQ
阅读全文漏洞预警 | 天地伟业Easy7综合管理平台SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述天地伟业Easy7综合管理平台采用分布式架构,融合模数混合切换显示、用户权限控制、数据存储点播等功能,具备智能检索、视频诊断等特色应用,能
阅读全文工具 | GYscan
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介GYscan是一款基于Go语言开发的现代化内网横向渗透测试工具。0x
阅读全文威努特入围中央国家机关2026年度网络安全采购项目!
近日,中央国家机关政府采购中心正式发布通知,在“中央国家机关2026年度网络安全产品框架协议联合征集采购项目”中,北京威努特技术有限公司(以下简称“威努特”)凭借领先的技术实力、完备的产品体系与卓越的
阅读全文23个IOS漏洞打包的Coruna工具包,已完成从国家级到黑产的三级扩散
本报告整合谷歌威胁情报小组(GTIG)与 iVerify 安全团队对Coruna iOS漏洞利用工具包的独立研究成果,完整还原该工具包的技术架构、攻击链全流程、漏洞利用矩阵、扩散路径与恶意行为特征。C
阅读全文雷锋精神在隐蔽战线绽放时代光芒
今天是第63个“学雷锋纪念日”。雷锋,一个温暖几代中国人记忆的名字,在很多人眼里,是无私奉献、助人为乐的象征。而在国家安全机关广大青年干警心中,雷锋不仅是全心全意为人民服务的精神丰碑,更与隐蔽战线神秘
阅读全文23个IOS漏洞打包的Coruna工具包,已完成从国家级到黑产的三级扩散
本报告整合谷歌威胁情报小组(GTIG)与 iVerify 安全团队对Coruna iOS漏洞利用工具包的独立研究成果,完整还原该工具包的技术架构、攻击链全流程、漏洞利用矩阵、扩散路径与恶意行为特征。C
阅读全文渗透测试Payload速查平台
平时渗透测试的时候有些payload会忘记,在github上找到这个项目非常nice!在线搭建了一个地址:https://comm.pgpsec.cn/tool/Payloader渗透测试Payloa
阅读全文青龙面板存在dependencies接口存在远程代码执行漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文全国政协十四届四次会议在京开幕 习近平等党和国家领导人到会祝贺
全国政协十四届四次会议在京开幕习近平李强赵乐际蔡奇丁薛祥李希韩正到会祝贺王沪宁作政协常委会工作报告石泰峰主持何报翔作提案工作情况报告同心同德共绘宏伟蓝图,实干奋斗共创时代伟业。中国人民政治协商会议第十
阅读全文从jar包获取Druid账号密码到拿下系统
字数 482,阅读大约需 3 分钟前言最近打的一个攻防演练项目,在收集资产时,遇到一个 web 系统。在对 URL 路径进行扫描时,发现了 Druid 的登录页面。Druid 无法未授权访问,用我的
阅读全文【项目实战】Druid低危+低危=高危
📝 编者语在日常的众测和SRC挖掘中,很多师傅遇到Druid未授权访问或弱口令时,往往截图证明个“敏感信息泄露”,就匆匆交个低危报告了事。碰上严格的审核,还要battle。今天,就结合众测项目实战,手
阅读全文