JWT:渗透测试姿势全解析(含实战)
导语师傅们在渗透测试做越权时,尤其是小程序的资产会经常看到cookie的字段是以eyj开头的字符串,不乏会有些头痛,没办法修改一些敏感字段从而达到越权。这就是jwt(JSON Web Token)。下
阅读全文一文带你看懂fastjson2下的反序列化调用链完整过程
扫码加圈子获内部资料专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢
阅读全文一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)
0x00前言本来开学正忙于实现电竞梦(联盟高校联赛),某一天下午突然有位师傅联系我说可以免面试进组打省护红队,这么好的实战机会怎么能错过呢~(好好玩游戏,不要学我^^)0x01 一个出局的企业单位内网
阅读全文速进!年后大量安全项目
声明:群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCS
阅读全文日寇眼皮底下的虎口夺金
山东招远自古以来以盛产黄金而闻名于世。抗日战争中,招远人民在极端艰难危险的环境下,在日寇眼皮底下虎口夺金,千里交通线穿越硝烟密运黄金,为缓解党中央和陕甘宁边区财政紧张、夺取抗战胜利作出了重要贡献。财政
阅读全文【网络安全】防范OpenClaw开源AI智能体安全风险
一、OpenClaw 开源 AI 智能体OpenClaw(曾用名 Clawdbot、Moltbot)是一款在开发者社区中迅速走红并逐渐大众化的开源AI智能体。其核心定位是通过整合多方大语言模型(LLM
阅读全文寻找 Fuzzing 参数的一种方式
字数 440,阅读大约需 3 分钟前言在挖洞过程中,拿到一个网站,没有账号密码,不能注册用户。明面上所有功能需登录才能使用。这种情况,一般开始收集网站 API,寻找未授权接口,企图抓到突破口。但在抓
阅读全文【CVE-2025-3052】信任链条上的又一道裂痕:揭秘另一个安全启动绕过漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文Claude Opus 4.6 在主要开源库中发现 500+ 高严重性缺陷
🔍 事件概述:AI 模型主动找漏洞**2026 年 2 月 6 日,Anthropic 发布了其最新大型语言模型 Claude Opus 4.6,该模型在预发布测试中发现了超 500 个之前未知的高严
阅读全文斯图加特大学 | Fuzz4All:基于大语言模型的通用模糊测试
论文题目:Fuzz4All: Universal Fuzzing with Large Language Models论文作者:Chunqiu Steven Xia, Matteo Paltenghi
阅读全文Lenovo 机器上的 AppLocker 绕过: MFGSTAT.zip 的离奇案例
这篇博文记录了我在 Lenovo 机器上的一个小发现:C:\Windows目录下存在一个可写文件。最初我以为只有少数几款 Lenovo 机型受影响,但后来发现这个问题似乎波及所有型号。由于它可以被利用
阅读全文爱泼斯坦无码邮件原文第四批:它个人gmail邮箱10封邮件
因为资料过于敏感,不提供下载地址,有兴趣的朋友请私信我,把你的个人邮箱留下,我给你发。想购买这107G资料也是可以,300块买下载的种子文件。想做自媒体的朋友,可以留意一下。
阅读全文银狐黑产组织ValleyRAT远控样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。银狐组织是一个专
阅读全文拒付赎金!哈佛、宾大百万校友数据遭黑客公开
事件回顾:黑客公然“撕票”一个名为ShinyHunters的知名黑客组织,近日在其数据泄露网站上,公开了据称从哈佛大学和宾夕法尼亚大学窃取的数据,每家高校的数据量均超过百万条记录。此举被普遍视为因勒索
阅读全文微软开发轻量级AI检测工具,一键扫描大模型隐藏后门
微软周三宣布开发出一款轻量级扫描工具,可检测开源大语言模型(LLM)中的后门程序,从而提升人工智能(AI)系统的整体可信度。该科技巨头的AI安全团队表示,该扫描器利用三种可观测信号,能在保持低误报率的
阅读全文蛙池AI 一款无门槛渗透测试神器!
作为从业多年的渗透测试工程师,日常离不开数据包分析、payload构造,常常在各类工具间切换,忙碌却效率一般,这也是很多同行的共性困扰。手工漏洞挖掘流程繁琐,数据包捕获、分析到payload验证,需要
阅读全文Claude新模型4.6开箱即挖500个0day漏洞; OpenClaw高危漏洞可一键直通上帝模式 | FreeBuf周报
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🎯Claude新模型4.6:开箱即挖500个0day漏洞,源代码审
阅读全文数据安全体系及逻辑分层小结
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01安全体系面对复杂的大数据安全环境,需要从四个层面综合考虑以建立全方位的大数据安全体系:边界安全、访问控制和授权、数据保护、审计和监控。如下图所示:1、
阅读全文芯片设计基础 -- CRG模块
点击上方蓝字谈思实验室获取更多汽车网络安全资讯CRG是芯片里的时钟和复位生成模块,全称是Clock Reset Generator。CRG模块提供整个系统所需要的时钟和复位信号。本文主要介绍一下CRG
阅读全文量子安全 quantum ctf Qlotto Hack the box
01代码分析server.py首先,拿到了一个server.py文件,我们先来分析代码:这道题也是一上来是定义了一个类,然后引用了包和设置aerfrom qiskit import QuantumCi
阅读全文看雪【勒索病毒应急响应服务】上线!
如果您发现文件或服务器被加密、业务中断、收到赎金通知——请立即联系我们!7×24 专业团队,15分钟响应,1小时启动现场/远程支援。时间每延迟1分钟,风险和损失都在扩大。免费远程初诊(30分钟)·15
阅读全文【安全圈】突发!BT面板Nginx服务器遭批量攻击
关键词黑客攻击一、事件核心概况据网络安全公司DATADOG发布的安全报告显示,黑客正利用React2Shell 漏洞(CVE-2025-55182,远程代码执行类漏洞) 发起针对性攻击,宝塔面板及NG
阅读全文【安全圈】紧急预警!n8n 曝严重漏洞
关键词n8n漏洞近日,工作流自动化平台 n8n 被披露存在一个严重安全漏洞,攻击者若成功利用该漏洞,可通过构造恶意工作流执行任意系统命令,入侵服务器、窃取敏感数据,风险极高。一、漏洞核心信息(据n8n
阅读全文【安全圈】突发!韩国Bithumb交易所误空投2000比特币
关键词Bithumb一、事件概况(据Foresight News、Bithumb官方公告)2026年2月6日,韩国加密货币交易所Bithumb在活动奖励发放中出现重大内部失误,本应向635名用户发放2
阅读全文【蓝队】一个多源漏洞情报聚合工具
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有侵
阅读全文习近平致电祝贺费尔南德斯当选哥斯达黎加总统
2月5日,国家主席习近平向劳拉·费尔南德斯致贺电,祝贺她当选哥斯达黎加共和国总统。习近平指出,中哥建交18年来,双边关系快速发展,各领域交流合作成果丰硕,有力增进两国人民福祉。事实充分证明,中哥关系发
阅读全文快手1.45亿双罚单背后:不止是利空,更是……
短短数日,快手就收到了两张大额罚单,合计金额高达1.45亿元。一边是市场监管总局针对电商业务处罚0.26亿,直指其收取高额违约金、对假冒侵权商品处理不力;另一边是网信办开出的1.191亿元罚单,剑指其
阅读全文【网安-招聘】字节豆包手机助手安全团队AI安全方向
AI安全开发工程师1、负责AI业务安全保护方案的设计与工程化落地,确保Agent及大模型处理过程中的数据与隐私安全; 2、参与AI大模型安全相关技术的研究,聚焦数据全生命周期安全、模型训练/推理环节威
阅读全文Android设备数据恢复技术方案(2026版)
Flutter逆向分析方法智能分析产品(28款神器)Android逆向技能树(2026版)AI对于普通人来说是翻身的机会(2026)鸿蒙HarmonyOS应用逆向技能树(2026版)🛠️ 技术基础:原
阅读全文