从LFI到数据库接管,再到差点成事的RCE
作者介绍:http://gitee.com/haidragon在我和朋友Sajad最近进行的渗透测试项目中,我们发现了一个完美的例子,说明小裂痕如何破坏整个系统。通过将一个简单的LFI链条连接起来,配
阅读全文作者介绍:http://gitee.com/haidragon在我和朋友Sajad最近进行的渗透测试项目中,我们发现了一个完美的例子,说明小裂痕如何破坏整个系统。通过将一个简单的LFI链条连接起来,配
阅读全文扫码领资料获网安教程本文由掌控安全学院 - zkaq -nnsae86 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)声明本文章所分享内容仅用
阅读全文01 引言提起 ActiveMQ,安全圈的人大多还记得 2023 年的 CVE-2023-46604。那一次,OpenWire 反序列化 RCE 被勒索病毒大规模利用,很多暴露在外的 ActiveMQ
阅读全文Nginx Proxy Manager 曝出已认证远程代码执行漏洞(CVE-2026-40519,CVSS 7.7),当攻击者以管理员账号进入系统后可利用该CVE漏洞在服务器上进行命令执行,导致服务器
阅读全文工具介绍在网络安全与运维分析领域,抓包与流量分析一直是最核心的环节。EasyTshark 作为一款基于 Wireshark 内核 的一站式网络流量分析平台,致力于让复杂的抓包过程变得简单直观。它集成了
阅读全文阿里云先知- AI攻防安全专家(P6/P7) 岗位职责:1. 开展AI攻防技术研究与工程化落地,重点聚焦Agentic漏洞挖掘与攻防对抗。2. 负责通用漏洞分析、后利用以及红队实战渗透测试。3. 作为
阅读全文APK逆向分析工具V1.2APP逆向分析工具V4.5APK安全加固平台V5.2Android so逆向分析工具Python逆向分析工具V2.5Unity手游无Root注入工具Android病毒分析工具
阅读全文缘由:最近重装一台老电脑的系统,选用了win7。上来重装系统,一个进行过无数遍的操作,真是闭眼熟。也没想到,直接翻车!“老毛桃”安装完win7系统启动后,弹开个“说明”文档,当时还腹议了一下,多此一举
阅读全文随着各行业数字化转型的不断深入,安全运营中心(SOC)已成为防御体系的核心枢纽。安全团队肩负着全域威胁监测、多源日志归集、攻击链溯源研判、应急响应处置、资产风险管理、合规管理闭环等关键使命,却长期受困
阅读全文近日,国家市场监督管理总局、国家标准化管理委员会发布2026年第23号国家标准公告,由安恒信息深度参与研制的4项国家标准正式获批发布,并将于2026年12月1日统一实施。从标准研制到落地实践,安恒信息
阅读全文原文链接作者https://malcat.fr/blog/benchmarking-llms-for-malware-triage-and-static-unpacking-with-malcat/R
阅读全文声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文2026年3 月,嘶吼安全产业研究院正式启动「AI + 网络安全」产业生态专项调研。此次调研历时三个月,覆盖AI 安全全产业链五大核心层级,综合运用定量问卷与定性访谈两种研究方法,累计回收有效问卷逾3
阅读全文6月10日,星期三,您好!中科汇能与您分享信息安全快讯:01微软6月补丁日来了:198个漏洞,3个零日已经在野被利用微软每个月第二个星期二发布的安全更新,是企业安全团队的"固定考题"。但6月这次更新有
阅读全文===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负
阅读全文本报告基于授权 CTF 靶场测试记录整理,仅用于复盘、学习与安全加固参考。报告中已对目标地址、带外平台域名、Flag、关键敏感字符串等进行脱敏处理。下文中的测试代码均使用占位符,请勿用于未授权环境。
阅读全文0x01 简介本次针对某 SRC 旗下 SpringBoot 资产展开全方位渗透测试,目标仅单一根域名却包含大量子站点。通过敏感目录扫描发现 Druid 监控页面,利用默认弱口令完成登录打点。结合未授
阅读全文课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢
阅读全文Venom — 红队集成化安全测试平台Venom 是专为渗透测试工程师和安全研究员设计的新一代集成化安全测试平台。由 Electron + Vue3 桌面端和 Go 本地引擎组成,通过 gRPC 将资
阅读全文● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称微软2026年6月补丁日多个产品安全漏洞影响产品Windows 图形组件、远程桌面客户端、Windows 部署服务 (WDS)等。公开时间2
阅读全文前几天地铁上刷到一个日本安全从业者的帖子。時間がある時にSilverFoxについて調べている。Rapid7、Forti等のセキュリティベンダーが"SilverFox APT"と呼んでいるけれど、色々記
阅读全文工具介绍 database_scan 是一个 Go 编写的数据库敏感信息检索工具,用于检查开发数据库中是否存在手机号、身份证、地址、账号、密码、邮箱、银行卡、token/secret 等敏感信息。默
阅读全文导语:2026年4月至5月,一个疑似与朝鲜有关联的黑客组织向近百家企业的软件开发者发送了250多封钓鱼邮件。邮件伪装成招聘邀请或代码审查请求,附带恶意GitHub/GitLab仓库链接。一旦开发者用V
阅读全文导语:2026年6月9日,Google突然发布Chrome浏览器紧急安全更新,一枚隐藏在V8 JavaScript引擎中的高危0day漏洞浮出水面。CVE-2026-11645——越界内存访问,攻击者
阅读全文导语:近日,一名安全研究人员披露了Zoho两处高危漏洞——DOM XSS和PostMessage配置错误。这两处漏洞均可被用于劫持用户账户,受害者只需点击一个链接,攻击者即可读取其邮件、获取登录验证码
阅读全文导语:2026年6月,一个名为BellaSwanLeak的黑客组织在暗网论坛抛出一枚重磅炸弹:他们发帖声称掌握了TikTok约24.6亿条用户数据,并附上了部分样本和下载链接。消息一出,安全圈震动。然
阅读全文前言xbsReverseSkill 是一个专注于 Web/JS 逆向分析的技能(Skill)仓库,核心围绕 Web/JS 逆向场景提供三类核心能力模块,可适配 codex、Claude CLI 等工具
阅读全文最近,这张截图在技术圈炸开了锅。一位从传统研发岗转到大模型算法的华为员工,晒出自己的工资条——税后到账1,002,415.13。评论区分成两派:一派在刷"牛",一派在沉默。沉默的那些人,心里在想:同样
阅读全文