今年网安的招聘市场已经疯掉了。。。

最近网上靠副业贴补收入的例子越来越多，就连稳定性比较高的教师、医生群体，都有人加入摆摊挣外快的行列。现在的大环境，经济增长放缓，企业纷纷收紧预算，钱一天比一天难挣，一份能增收的副业，早已从 “可选项”

等保三级设备清单曝光！这20项不装，2026年合规直接凉凉！

2026年2月1日，将是网络安全等级保护领域的一个重要节点——公安部发布的6项等保三级相关推荐性标准将正式实施，涵盖边缘计算、大数据、IPv6、区块链等多个新兴技术场景。这意味着，等保三级合规不再是

30 个内网渗透信息收集技巧，吃透了，内网横着走！

内网渗透的核心前提是“知己知彼”，而信息收集正是实现这一目标的关键环节。完整、精准的信息收集不仅能帮我们快速定位内网资产的薄弱点，更能为后续的渗透测试提供清晰的路径规划。反之，信息收集不全面，往往会

【已复现】Zimbra 本地文件包含漏洞(CVE-2025-68645)

● 点击↑蓝字关注我们，获取更多安全风险通告漏洞概述漏洞名称Zimbra 本地文件包含漏洞漏洞编号QVD-2025-49525，CVE-2025-68645公开时间2025-12-22影响量级万级奇安

一款Windows 漏洞映射与分析工具

工具介绍WindowsVulMap 是一个基于 Microsoft MSRC CVRF 官方接口 的 Windows 漏洞映射与分析工具，用于按 具体 Windows 产品版本 精确查询、筛选和评估漏

黑名单过滤下为何还能无限制SQL注入！

文章作者：Yu9文章来源：https://forum.butian.net/share/29050x01 前言这周看到了某公众号发的springboot+vue实现的一个后台管理系统。阅读量还挺高的，

密钥:73FN2-3VWHF-83KJQ-F4XWK-6CQGG

大家好，这里是乌雲安全！熟悉我们的朋友应该都知道，我曾经推荐过的聚合了全世界AI模型于一身的【天道AI】，目前已经稳定运营三年时间了，对外价格一直是1000元/年/人！而且为了优化用户的使用体验，它一

【已复现】LangChain 序列化注入漏洞(CVE-2025-68664)

1漏洞描述LangChain 序列化注入漏洞（CVE-2025-68664）是LangChain框架中langchain-core组件存在的高危漏洞，攻击者可通过控制特定字典键值对触发任意代码执行。该

记一次内网渗透复盘-拿下域内30+机器

0x00免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学

文件上传黑名单限制的绕过总结

一、黑名单限制的本质与风险文件上传黑名单是 Web 应用通过禁用特定文件后缀（如.php、.jsp）阻止恶意脚本上传的防御机制，但因 “枚举不全”“解析差异” 等固有缺陷，常被攻击者突破。据 Por

年底网安的薪资彻底爆了。。

前两天和干了5年开发的老张聚餐，刚坐下他就大吐苦水，作为公司里的技术骨干，他却总觉得焦虑。“工资一点没涨，开销越来越大，指不定哪天就被房贷压垮了。”“现在的环境，想跳槽又担心找不到工作。”“想做个副业

大疆招聘中/高级网络安全专家！

30 个渗透实战技巧 从弱口令爆破到权限提升全攻略！

本文分享的 30 个实战技巧，均面向企业安全运维与合法渗透测试场景，旨在帮助安全从业者提升防御能力，而非提供攻击工具。第一部分：弱口令爆破实战技巧弱口令是网络安全的 “头号漏洞”，实战中需兼顾 “高

大模型时代的容器安全攻防实践

文章来源：https://xz.aliyun.com/news/19380

强推一个永久的攻防演练、渗透攻防知识库

想跳槽面试，翻遍全网找大厂真题，要么是三四年前的旧题，要么零散得凑不成体系，连份能参考的面经都没有；护网演练到关键节点，急需某个漏洞的 POC/EXP，在各个群里 “求资源” 求到半夜，拿到的还是过期

Wireshark在渗透测试实战中的 30 个分析技巧

Wireshark 作为网络分析领域的 “瑞士军刀”，凭借其开源免费、功能强大的特性，成为网络安全工程师、渗透测试人员及运维人员排查网络问题、检测攻击行为的核心工具。一、精准获取关键流量Wiresh

红队评估服务视角下的攻击策略与技巧

文章来源：https://xz.aliyun.com/news/19383

打工是没前途的：全球漏洞赏金实时更新汇总

说到漏洞挖掘，很多时候选择去哪里挖比挖掘深度更重要，比如，你埋头逆向C:\Windows\System32\notepad.exe 十年如一日显然一辈子也发不了财，那么如何知道这个世界上有哪些漏洞赏金

AI应用安全攻防实录

文章来源：https://xz.aliyun.com/news/19384

被网安圈疯传的显示器！

近期在搞某政企内网渗透测试项目，经常性的盯着笔记本外接的普通显示器，每天要熬12 小时。当用 BurpSuite 抓包分析 SQL 注入漏洞时，16:9 的屏幕根本装不下完整的 HTTP 请求头和

一款开源免费的漏扫工具

介绍Sirius Scan是业内首款真正开源的通用漏洞扫描工具，靠信息安全社区的集体技术力，功能上有超越部分商业产品的潜力。它的核心框架含四大关键模块：漏洞数据库、网络扫描引擎、代理发现机制和自定义评

别再被 XDR 的 “攻击提醒” 逼疯！

过去几年，你可能已经听烦了各种安全术语：EDR、XDR、SOC、AI 检测、NDR、All-in-One……但很多安全负责人心里其实只有一个问题：“这些东西，到底能不能真正帮我挡得住攻击、少掉点坑？”

年底网安的招聘市场已经疯掉了。。。

最近爬虫副业在圈内火了。刷朋友圈时看到不少同行晒单，了解后才发现，原来靠爬虫接单，收入可以这么可观。仔细盘点了一下爬虫的需求来源，除了大家熟知的简单数据抓取，最近几年涌现了很多更高阶的需求：为私募基金

APP抓包技巧大全！

一、抓包基础1. 抓包本质与工作逻辑抓包是通过技术手段拦截 APP 与服务器间的网络数据包，核心原理是利用「中间人代理」或「网络层监听」获取流量数据。前者如 Charles 通过代理转发请求实现捕获

强烈建议网安人尽快搞个软考证！（重大利好）

🔊注意：2026软考生恭喜了！让你一次上岸的机会来了！「2026软考上岸学习群」正式开放！25年软考已结束！你是不是也踩了这些坑😭：❎考点又多又杂，复习毫无重点；❎超纲内容太多，新技术储备不足；❎论文

近源渗透在红队实战中的落地

文章来源：https://xz.aliyun.com/news/19382

很严重了，大家别轻易离职。。

不夸张的说，未来5年程序员最好的技术发展方向，一定是AI大模型！👉华为全面布局Agent，覆盖80%新业务系统；👉美团新招50%技术岗，明确要求掌握微调或应用开发技能；👉阿里、字节、百度等大模型岗位暴

SMB 横向移动实战：3 个绕过 NTLM 认证的技巧，内网主机一锅端！

在企业内网渗透测试中，横向移动是突破单点权限、掌控整个内网的关键环节。而 SMB（Server Message Block）协议因广泛用于文件共享、打印机服务等核心场景，成为横向移动的 “主干道”。

服务器遭挖矿入侵？应急响应 4 步曲帮你快速止损！

对安全运维人员来说，服务器突然卡顿、CPU 占用率飙升至 90% 以上，大概率是遭遇了挖矿入侵。挖矿程序会疯狂占用服务器 CPU、内存等资源，不仅导致业务系统响应缓慢，还可能引发数据泄露、合规风险等

绕 WAF 实战：6 种 SQL 注入变形技巧！

WAF是拦截 SQL 注入的重要屏障，但主流 WAF 的检测规则多基于 “关键字匹配”“语法特征识别” 等固定逻辑。只要抓住这些规则的盲区，通过合理的 SQL 语句变形，就能在合法授权测试中绕过防护