安全简讯(2026.04.14)
1. 健身巨头Basic-Fit遭入侵,百万客户数据泄露4月13日,荷兰健身连锁巨头Basic-Fit近日披露,其系统遭黑客入侵,导致约100万客户的信息被窃取。该公司在发现异常后迅速发布声明,称其系
阅读全文【漏洞通告】Axios Header 注入导致云元数据泄露漏洞(CVE-2026-40175)
一、漏洞概述漏洞名称Axios Header 注入导致云元数据泄露漏洞CVE IDCVE-2026-40175漏洞类型输入验证不当发现时间2026-4-14漏洞评分10漏洞等级严重攻击向量网络所需
阅读全文【漏洞通告】Marimo WebSocket 认证绕过漏洞(CVE-2026-39987)
漏洞名称:Marimo WebSocket 认证绕过漏洞(CVE-2026-39987)组件名称:Marimo影响范围:Marimo < 0.23.0漏洞类型:绕过认证利用条件:1、用户认证:不需要用
阅读全文网安原创文章推荐【2026/4/13】
2026-04-13 微信公众号精选安全技术文章总览洞见网安 2026-04-13 0x1 CTFshow-Pwn堆利用-前置基础(135-141)玫家大院 2026-04-13 21:52:51
阅读全文某老牌985证书站多处越权测试
扫码领资料获网安教程本文由掌控安全学院 - shs 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)开局一个研究生系统账号登录系统,加载页面一眼
阅读全文4月社区投稿活动 | 漏洞挖掘
2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋,可在社区商城提现),打空截止,不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原
阅读全文天融信荣获吴文俊人工智能科技进步一等奖
再获科技进步奖!近日,2025年度吴文俊人工智能科学技术奖获奖结果正式公布。凭借在“AI+工业安全”领域的重大技术突破与规模化应用成效,天融信《工业网络安全未知威胁智能检测与防御关键技术及应用》项目斩
阅读全文Axios爆SSRF漏洞,特定条件下可导致RCE
漏洞概况Axios是一个基于Promise的HTTP客户端,广泛应用于浏览器和Node.js环境。近日,Axios官方发布安全通告,修复了一个SSRF漏洞(CVE-2026-40175)。微步情报局已
阅读全文习近平会见西班牙首相桑切斯
4月14日上午,国家主席习近平在北京人民大会堂会见来华进行正式访问的西班牙首相桑切斯。习近平指出,尽管国际形势变乱交织,中国和西班牙关系始终稳步发展,打造了具有战略定力的中西关系,一条重要经验就是基于
阅读全文习近平会见阿联酋阿布扎比王储哈立德
4月14日上午,国家主席习近平在北京人民大会堂会见来华访问的阿联酋阿布扎比王储哈立德。习近平指出,阿联酋是中国的全面战略伙伴,中方始终高度重视发展同阿联酋的关系。在双方共同努力下,中阿关系保持健康稳定
阅读全文论文一直投不中?大牛帮修改、选刊、投稿、返修后,被拒的5篇SCI全中了!
发一篇sci你们被拒稿几次?我第一次投稿经历了7次桌拒,拒稿信推满了邮箱,没有出路……👆拒稿信一角后来成功发了论文之后才发现,发sci真的不能只死磕内容!更不能盲目投稿!要找助力,找捷径!估计很多人跟
阅读全文我使用了两个Endpoints,结果被判定为 CVE
官网:http://securitytech.cc如何一个未认证的 Zammad API 泄露组织结构、认证后端以及钓鱼攻击路径 — CVE-2026–34723curl → HTTP 200 → 钓
阅读全文我如何利用一张价值 0 美元的虚拟信用卡绕过高级订阅并提升权限
官网:http://securitytech.cc引言业务逻辑漏洞可以说是漏洞赏金领域中最有意思的一类漏洞之一。与常见的注入类漏洞不同,它们无法通过自动化扫描器检测出来;它们需要对应用的架构以及后端处
阅读全文安卓应用安全防护逆向分析报告:平安安全线
声明本技术报告仅用于网络安全防护技术教学,内容聚焦安全防御体系构建、漏洞识别与修复等正向教学目标。报告中涉及的技术分析、工具使用等相关内容,均限定于合法授权的教学实验环境内开展;撰写目的旨在助力学习者
阅读全文2026安卓逆向 -- SunnyNet抓包
官网下载地址:https://esunny.vip/二、下载后直接运行exe文件。三、点击菜单栏的设置按钮,安装证书点击SSL证书点击默认证书,出现下面内容,代表证书安装成功点击常规设置,查看监听端口
阅读全文一次二进制RCE漏洞审计
前言:最后一篇库存文章,现在头脑发胀,感觉二进制要学的东西还有很多很多。就这样晚安。1、下载固件产品中心下载对应固件即可我这里选择的是AC系列选择下载该路由器的固件2、提取一般使用bingwalk提取
阅读全文代码审计 一次SQL注入漏洞挖掘
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公
阅读全文“AI黑客”单兵作战:1人2模型,利用Claude 和ChatGPT,攻陷墨西哥9个核心政府机构
● 事件概述:AI驱动的国家级网络入侵2026年4月,以色列网络安全公司Gambit Security发布了一份完整的技术报告,揭露了一起由单一攻击者利用两大商业人工智能平台——Anthropic的C
阅读全文TOPSRC 2026年第一季度奖励公告
TOPSRC2026年Q1TOPSRC的各位白帽师傅大家好!感谢诸位师傅一直以来为天融信安全所做的贡献让我们一起祝贺获得Q1季度奖励的白帽师傅!恭喜以上师傅获得TOPSRC季度奖励!季度奖励将在当月集
阅读全文效率直接翻倍!AI 安全智能体数字员工,让安全运营更简单!
神探安全智能体数字员工—飞书原生安全助手,一句话开启自动化渗透一、 神探智能体数字员工是什么 神探是一款飞书(即时通信软件均可)原生部署的AI安全检测机器人,不用复杂操作,不用敲命令,只
阅读全文ARM64动态指令追踪工具使用与实现分析
ARM64动态指令追踪工具使用与实现分析本文基于开源项目GumTrace的源码,对ARM64平台动态指令追踪技术进行深度剖析。从工具使用到引擎实现、从指令解析到污点传播,逐层拆解每一处工程细节。本文项
阅读全文Vue新攻击面-动态路由实战狩猎
建议社区原文地址链接查看,未经同意请勿转载复制奇安信社区前言漏洞挖掘测试网站无非两种形式,能注册就测试功能点,不能注册那么只能在前台登录框徘徊测试接口,针对接口的渗透测试往期我也发表多诸多文章并且互
阅读全文AI 在现实中寻找到真正N-Day漏洞的表现如何?
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文【SRC实战】利用js多赚1000
📝 编者语最近有学员在面试中被问到了JS相关的知识,刚好我这里有一篇单点漏洞挖掘记录。我们不看结果,只看过程:怎么从一段JS,一步一步走到“任意文件上传”。1看一眼1000一开始其实没想那么多。就是在
阅读全文一名美国国家安全局分析师对其约会女友进行监视
一名国家安全局分析师利用第702条监视权,对其在约会应用程序上结识的女友进行监视。美国科罗拉多州共和党众女议员劳伦于周一致信国家安全局(NSA)局长Joshua Rudd,就国家安全局分析师多次“严重
阅读全文Google把登录会话和设备绑定,反制Cookie盗窃开始“前移”
4月14日,星期二,您好!中科汇能与您分享信息安全快讯:01Anthropic新模型引发网安圈震动,AI找漏洞可能正在跨过临界点Anthropic 最新发布的 Claude Mythos 预览版正在引
阅读全文