JerryScript引擎ecma_op_to_index漏洞分析与越界读写利用
听说第八届“强网”拟态防御国际精英挑战赛一道 JerryScript 的 Pwn 题,抽空尝试做了一下。当时构造出 8 字节的越界读写后,一直尝试利用,但由于 GC 的原因一直没有成功,时间比较短,如
阅读全文格小密:智能体社会,如何一眼认出“自己人”?
格小密格尔软件股份有限公司大家好,我是格小密。昨天我和大家聊了什么是智能体身份?今天我一直在想一个问题:当未来的世界充满了会思考、会协作的智能体,我们该怎样确认,每一个与我们打交道的“数字伙伴”,都值
阅读全文jsPDF库两大漏洞可致代码注入与系统崩溃,千万开发者需立即升级
近日,备受开发者欢迎的前端PDF生成库jsPDF被曝出两个高危安全漏洞。利用这些漏洞,攻击者可向PDF文档中注入恶意代码,或通过一张特殊图片导致应用程序或浏览器标签页崩溃。安全专家强烈建议所有使用该库
阅读全文HTTP 历史流量分析专家 Agent 正式上线!
在 Yakit 的 历史流量(History) 页面左侧,我们新增了一个 AI 侧边栏入口。打开后,用户可以直接和 AI 对话,围绕当前历史流量提出问题,例如:某个域名或接口相关的流量有哪些?是否存在
阅读全文APT-C-28(ScarCruft)利用MiradorShell发起网络攻击的安全预警
APT-C-28 ScarCruftAPT-C-28(ScarCruft),又称Konni,是一个长期活跃于朝鲜半岛的APT组织,其攻击活动最早可追溯至2014年,主要针对周边国家地区的政府机构实施
阅读全文gemini-mcp-tool 命令注入漏洞深度分析(CVE-2026-0755)
一次从发现到利用的安全漏洞分析之旅在浏览安全资讯的时候,我偶然间看到了 CVE-2026-0755,这是一个关于 gemini-mcp-tool 的命令注入漏洞。对MCP 协议不太了解,我心里充满了疑
阅读全文【免费领】HW护网蓝队面试题整理汇总(含答案及解析)
点击蓝字/关注我们今日福利HW护网蓝队全网面试题汇总聚焦HVV蓝队应急响应及溯源实操技术涵盖护网面试常考的宏观题和细节题限时福利,请及时领取哦 ~该资料内容较多,以下为节选的部分目录:长按识别下方二维
阅读全文绿盟科技斩获三项卓越贡献奖!以技术与实践赋能网络数据安全行业发展
近日,中国计算机行业协会网络和数据安全专业委员会(以下简称“网数专委”)、黑灰产检测与反制工作委员会2025年度工作总结会顺利召开。此次大会全面复盘2025年行业发展成果,擘画2026年网络安全与黑灰
阅读全文联想"天骄学堂"入选《未成年人个人信息保护典型案例集》
往期精彩合集●联想集团第八届网络安全周精彩回顾●聚焦浏览器安全技术突破-联想全球安全实验室 亮相补天白帽黑客盛典分享前沿研究!●安全实验室专家参与编制《信息安全渗透测试技术要求》团体标准正式发布●联想
阅读全文车载以太网诊断协议-DoIP
点击上方蓝字谈思实验室获取更多汽车网络安全资讯所谓的DoIP其实就是基于以太网的通讯协议对UDS协议的数据进行传输,即Diagnostic communication over Internet Pr
阅读全文决胜量产前夜 | CPO Asia 2026 亚洲光电共封装技术创新大会定档6月上海!CPO从“可做”到“量产”的最后一公里
点击上方蓝字谈思实验室获取更多汽车网络安全资讯CPO Asia 2026为什么是CPO?—— AI算力浪潮下的必然答案当前,AI大模型的训练与推理正如海啸般冲击着全球数据中心的极限。传统的数据互连方式
阅读全文出海欧洲,精准匹配!Humanoid Europe 2026 欧洲人形机器人科技与安全大会重磅启幕
点击上方蓝字谈思实验室获取更多汽车网络安全资讯Humanoid Europe 2026人形机器人中国机器人产业链出海已成大势所趋。2025年上半年,中国工业机器人出口额达7.46亿美元,同比增长59.
阅读全文23亿诉讼落幕!欣旺达与吉利威睿达成和解
点击上方蓝字谈思实验室获取更多汽车网络安全资讯2月6日,欣旺达发布公告称,欣旺达的子公司欣旺达动力科技股份有限公司与吉利系公司威睿电动汽车技术(宁波)有限公司在一审阶段达成和解,后者将在《和解协议》生
阅读全文马斯克母亲误将深蓝认作特斯拉 深蓝汽车CEO姜海荣回应
点击上方蓝字谈思实验室获取更多汽车网络安全资讯2月6日消息,深蓝汽车CEO姜海荣日前发文回应了马斯克的母亲梅耶·马斯克将深蓝汽车认成特斯拉这一事件。他表示,“这波美丽的误会,是中国新能源汽车带给世界的
阅读全文【漏洞通告】n8n 表达式沙箱逃逸导致远程代码执行漏洞(CVE-2026-25049)
漏洞名称:n8n 表达式沙箱逃逸导致远程代码执行漏洞(CVE-2026-25049)组件名称:n8n影响范围:n8n < 1.123.172.0.0 ≤ n8n < 2.5.2漏洞类型:代码执行利用条
阅读全文网络安全信息与动态周报2026年第5期(1月26日-2月1日)
本周网络安全基本态势本周,互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威
阅读全文安全热点周报:SolarWinds 严重远程代码执行漏洞已被积极利用
安全资讯导视 • 《网络犯罪防治法(征求意见稿)》公开征求意见• 工信部等八部门印发《汽车数据出境安全指引(2026版)》• 美军在“午夜之锤行动”中使用网络武器干扰伊朗防空系统PART 01新增在野
阅读全文米兰冬奥会开幕前,爆发多起未遂网络攻击
关注我们带你读懂网络安全意大利外交部指责俄罗斯方面在米兰冬奥会开幕前发起网络攻击,使馆、奥运相关设施和网站等约120个目标受到影响,但未造成严重破坏。俄罗斯政府尚未就此发表公开评论。前情回顾·往届奥运
阅读全文2025年国家网络安全风险与治理态势回顾
文/磨惟伟《中国信息安全》副总编辑2025年是“十四五”圆满收官之年,也是“十五五”接续开启的关键之年。这一年,以习近平同志为核心的党中央从广大处谋划、于精微处落子,推动数字中国和网络强国建设实现跨越
阅读全文火绒小问答——「企业版」端口设置
尊敬的用户,您好!为保障您顺利使用控制中心及终端相关功能,确保系统各模块正常通讯与数据交互,现将产品核心通讯端口、数据库端口的默认配置、用途说明、修改规则及配置查看方法整理如下,供您部署与维护时参考。
阅读全文【火绒安全周报】春运抢票陷阱需警惕/国安部发文警示数据安全风险
春运抢票陷阱需警惕春节日益临近,第三方抢票平台的 “加速包”“代抢服务” 乱象频发。北京市场监管部门查办全国首例虚假抢票案,查实相关平台将12306免费候补购票包装为付费特权,编造 “双通道抢票”“加
阅读全文诚邀渠道合作伙伴共启新征程
随着业务的不断扩展和市场需求的增长,火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划,期待与更多志同道合的伙伴一起把握行业趋势,共同开拓市场潜力,携手共创网络安全的美好未来
阅读全文Samstung 第 1 部分:MagicINFO 9 Server 远程代码执行
原文链接作者https://srcincite.io/blog/2026/01/28/samstung-part-1-remote-code-execution-in-magicinfo-server
阅读全文Samsung MagicINFO 9 预认证 RCE 漏洞链分析 - TOCTOU 竞争与目录遍历导致认证绕过
原文链接作者https://srcincite.io/blog/2026/01/28/samstung-part-2-remote-code-execution-in-magicinfo-server
阅读全文安全简讯(2026.02.06)
1. Substack数据泄露:69万用户信息遭窃2月5日,新闻通讯平台Substack披露,其系统在2025年10月遭遇数据泄露,攻击者非法访问了包含电子邮件地址、电话号码及内部元数据在内的有限用户
阅读全文【漏洞通告】n8n 表达式执行漏洞导致命令执行(CVE-2026-25049)
一、漏洞概述漏洞名称n8n 表达式执行漏洞导致命令执行CVE IDCVE-2026-25049漏洞类型命令执行发现时间2026-2-6漏洞评分9.4漏洞等级严重攻击向量网络所需权限低利用难度低用户
阅读全文【红队工具】Heavenly自动化生成白加黑免杀工具
0x01 声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!0x02 工具介绍Heavenly自动化生成白加黑免杀工具,
阅读全文网络安全正在被降维打击
我的思考我在很早的博客里说过,llm顺手会干掉很多,包括网络安全行业,我的依据是来自deepseek的论文,deepseek的r1论文证明一个事情:任何可以被客观验证的垂直领域都可以被训练,从而实现替
阅读全文利用 LLM 加速漏洞挖掘:我是如何在 Scada-LTS 中发现 Stored XSS 并拿到人生第一个 CVE 的
官网:http://securitytech.cc📌 引言我最初是在准备一份关于漏洞挖掘的培训材料。与其只做 PPT、用传统工具,我决定做一次真实实验,使用我最喜欢的一些大语言模型(LLMs)。具体来
阅读全文