针对 Java 幽灵比特位漏洞的 WAF 绕过辅助工具

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负

危险！Android 无线调试认证被绕过：0 点击获取 ADB Shell

Android ADB 曝出认证绕过高危漏洞（CVE-2026-0073，CVSS 3.1：8.8），攻击者通过构造特定算法的 TLS 证书，可绕过主机 RSA 密钥配对校验，直接获取目标设备的 Sh

测评 || AI 时代，谁才是真正能打的代码审计工具？

大家好，我是润霖。最近我发现了一个非常有意思的网站——AI Code Review Rankings（https://aicodereview.cc/）.它做了一件硬核的事,对市面上 50 多款 AI

AI Java代码审计实战

一. AI时代的高速前进，你慌了嘛？[先说一些个人浅薄的观点，文末还有一些，欢迎一起探讨。]这两年AI的发展速度，感觉已经有些跟不上了。一个接一个的AI技术重磅发布，搞得大家都很焦虑，感觉今天学的技术

APatch最新版检测与过检测原理分析

APatch最新版检测与过检测原理分析本文主要讲解Duck-Detector最新版本引入的对APatch的检测原理的分析，以及APatch官方的过检测思路。作者：非虫（fei_cong@hotmail

【活动】白帽赏金挑战赛JSRC活动进行中！

赏金挑战赛JSRC站JD SECURITY活动时间2026.5.5 ～ 2026.5.19活动范围一般业务、核心业务有效高危/严重2.5倍积分奖励参与方式提交地址：https://security.j

2026白帽赏金挑战赛来袭｜MiSRC等你来战

Read2Own：Microsoft Azure 红队渗透实战

原文链接作者https://itm8.com/articles/read2own-red-teaming-microsoft-azureCasper Schjøtt 与 Nichlas Falk介绍本

使用 american fuzzy lop (AFL) 对项目进行 fuzzing

原文链接作者https://0x434b.dev/fuzzing-projects-with-american-fuzzy-lop-afl/0x434b前言本文将以一篇短小的介绍,带你了解 fuzze

红队后渗透CobaltStrike插件更新

本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担！！！插件简介及功能特点 在红队攻防后渗透中，之前用其他师傅的插件

5 月补天战神榜来啦，现金奖励 + 专属荣誉，速冲！

战神榜奖励继续现金大奖等你来拿提「战神榜」奖励，将于2026年5月持续加码!白帽子的热情从未减退，提交的漏洞依然源源不断。为了持续回馈大家的付出，也为了激励更多技术大牛一展身手，5月战神榜将携更加丰厚

【高危漏洞预警】Apache HTTP Server mod_http2 远程代码执行漏洞（CVE-2026-23918）

一、漏洞概述漏洞类型：内存损坏（双重释放/Double Free）威胁等级：高危（Apache 官方评级：Important）影响组件：Apache HTTP Server mod_http

利用302实现xss的一个思路

利用302实现xss的一个思路正文正常情况下: 302https://dev.twitter.com/https:/%5cblackfan.ru/#响应HTTP/1.1 302 Foundconnec

挖洞效率翻倍！敏感信息扫描神器来了

Ima知识库名称加入条件潇湘信安协同知识库（更新~ing!）免费加入潇湘信安学习资料库（更新~ing!）≥3年粉丝潇湘信安内部知识库（更新~ing!）星球成员做渗透、代码审计、源码泄露排查的朋友都懂，

速查！又一知名软件被投毒，大量用户失陷

有国外安全机构近日披露，主流磁盘镜像挂载工具DAEMON Tools遭遇供应链投毒。自4月8日起，其官方网站被上传了12.5.0.2421至12.5.0.2434等多个恶意版本，影响超过100个国家和

实战SQL注入某面板防火墙绕过

近期的一次SQL注入实战，通过手动测试发现站点存在SQL注入漏洞，首先在探测的时候，输入单引号查看效果再输入单引号进行闭合通过报错信息可以直到，想要达到闭合条件最好还是使用%号、引号和括号，尝试闭合配

【全网首发】Claude Security 公测了：我把它从开通到修复的每一步，都拆开讲清楚

五一期间，安多多第一时间拿到了 Claude Security 的完整功能介绍，并做了深度研究 : )坏消息是，搭载 Opus 4.7 的 Claude Security 公测版目前仅向 Claude

挑战杯｜谁是AI安全领域的佼佼者，谁就揭榜。安恒信息“英雄榜”请你查收！

习近平总书记在网络安全和信息化工作座谈会提出：可以探索搞揭榜挂帅，把需要的关键核心技术项目张出榜来，英雄不论出处，谁有本事谁就揭榜。近日，共青团中央发布了2026年度中国青年科技创新“揭榜挂帅”擂台赛

冰蝎 / 哥斯拉暗藏杀招：无文件内存马入侵揭秘

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具

安卓系统存在严重零点击漏洞，无需交互即可获得远程 Shell 访问权限

导语：2026年5月4日，Google发布5月Android安全公告，披露了编号为CVE-2026-0073的高危零点击远程代码执行漏洞。该漏洞存在于Android调试桥守护进程（adbd）中，攻击者

台湾高铁就这安全性？台湾23岁学生用SDR和手持电台瘫痪四列高铁：TETRA无线电漏洞让19年安全体系形同虚设

导语：一个23岁的台湾大学生，买了个SDR设备，攒了11部手持电台——就这么点装备，把台湾高铁的调度系统搅了个底朝天。四列高铁被迫紧急停车，累计延误48分钟。你以为这系统有多少层防护？七层。但问题是，

10米外电磁泄漏：蓝牙芯片AES-128密钥可被远程恢复

导语：传统电磁侧信道攻击需要接近目标设备，剥开芯片封装，焊接额外组件——这是实验室里的攻击，不是现实中的攻击。但一项新研究颠覆了这一刻板印象：攻击者只需要一台天线，在1米外就能从蓝牙芯片的RF发射中提

CVE-2026-24291：Windows ATConfig辅助功能本地提权漏洞深度解析

导语：一个普通用户，无需任何特殊权限，只需在锁屏界面上触发一次竞争条件，就能获得系统的最高控制权——这正是CVE-2026-24291（代号RegPwn）所实现的效果。2026年3月，这个潜伏在Win

Copy Fail漏洞：K8s集群中的AF_ALG可达性验证

注：本文翻译自 Juliet 的文章《Copy Fail in Kubernetes: RuntimeDefault Did Not Block AF_ALG》[1]，可点击文末“阅读原文”按钮查看

Burp插件 | API 越权测试、快速收集目标网站的所有 API

工具介绍ApiScanPlus为Burpsuite打造的路由抓取与渗透工具插件，借鉴结合了(JsRouteScan+ChkApi+Linkfinder)等优秀项目，主要突出API抓的全、过滤更严谨方便

超越 SaaS - 防务科技的新商业模式解读

传统由风投支持的商业模式——SaaS、平台型市场、消费级平台——通常建立在买方众多、竞争充分的大市场之上。而防务领域恰恰相反：客户高度集中、预算受限，采购体系也并不会自然偏向现成的标准化产品。因此，越

报名开放｜HKHACK 2026 正式启动，全球安全技术力量汇聚香港

由 CASABA 发起的国际安全技术大会 HKHACK 2026（Hong Kong Hack） 现已正式启动。作为 Hack 系列首次落地香港的重要一站，HKHACK 2026 将聚焦前沿安全研究与

假期漫谈·安全行业的碎片观察｜网安局中人·03

主播：Bruce ZHANG第一部分 / 聊聊漏洞是一种债务补丁浪潮5 月1 日，英国国家网络安全中心NCSC UK发了一份通知，说得很直白： “各组织必须立刻行动起来，为接下来这波‘补丁潮’做好准

网安原创文章推荐【2026/5/5】

2026-05-05 微信公众号精选安全技术文章总览洞见网安 2026-05-05 0x1 权限维持--DLL劫持One security 2026-05-05 20:45:03

从 GPT-5.5 看懂 AI Agent 的安全边界

这篇不是"模型跑分解读"。如果只看分数，很容易得出一个简单结论：GPT-5.5 更强了，尤其在代码、工具使用、网络研究、复杂任务执行和网络安全能力上都有明显提升。但真正值得关注的，不是它又强了多少。而