微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文原创 | 一条SQL,删光你家数据库?别慌,看完这篇你就是半个黑客!
字数1688,阅读大约需9分钟兄弟们,今天咱们不聊风花雪月,聊点刺激的——你的数据库,可能正裸奔在互联网上。别紧张,不是要吓唬你。但你得知道,有些黑客,真的只需要一条语句,就能让你辛辛苦苦攒了几年的
阅读全文原创| 当你 “被发微博”时,黑客到底干了啥?揭秘网页中最危险的 XSS 攻击
字数1817,阅读大约需10分钟你有没有过这样的经历?突然发现自己的微博、朋友圈、论坛账号莫名其妙地发了一条奇怪的链接:“你中奖了!”“快看这个视频!”“太劲爆了,99%的人不敢点!”你一脸懵:我没
阅读全文原创 | “我登录了,就能随便看?别闹了!”——99%的人都搞混的“认证”和“授权”
字数1817,阅读大约需10分钟你有没有遇到过这种情况?公司新来了个实习生,一脸天真地问:“我账号都登录了,为啥不能看财务报表啊?”或者,你辛辛苦苦写了个项目文档,同事想看一眼,你随口说:“链接发你
阅读全文SRC高危逻辑漏洞挖掘
置空鉴权字段不仅仅在登录口,在查询处,鉴权处都是很经典的思路如jwt置空加密字段,个人信息置空回显站点全部信息,最简单的思路往往能造成最致命的问题进入站点简单熟悉一下业务,发现存在注册功能,未注册的账
阅读全文原创 | 除了账号密码,我们还能怎么安全地“证明自己”?
字数2433,阅读大约需13分钟 你有没有这样的经历?早上打开公司邮箱,顺手登录内部系统处理工作;中午用手机点个外卖,微信一键登录;晚上回家想看个视频,又掏出身份证实名注册了一个新平台……一天下来,
阅读全文原创 | 你的密码真的安全吗?3分钟看懂加密背后的“黑科技”
字数1753,阅读大约需7分钟大家好,我是你们的老朋友。今天咱们不聊代码bug,也不谈加班熬夜,来聊一个每个人都关心的话题——密码安全。你有没有想过:为什么你在淘宝、微信、银行App上输入的密码,别
阅读全文原创 | 你以为的安全,根本挡不住我
字数1521,阅读大约需8分钟我是小浪,入行 N 年,干过渗透、写过木马、也帮企业做过红队测试。说白了,我就是个靠找漏洞吃饭的人。但今天我不想讲怎么黑进系统,我想告诉你—— 为什么你建的 “城堡”,
阅读全文原创 | 我当了N年黑客,才明白企业最怕的不是“攻破”,而是这个…
字数1896,阅读大约需10分钟你是不是觉得,黑客就是躲在黑暗角落、敲几行代码就能偷走数据的 “神秘人”?我干这行整整N年。从最早在网吧蹭网写脚本的小白,到后来帮几家公司做 “红队演练”(说白了就是
阅读全文RealVul: 基于大语言模型训练微调的PHP漏洞检测框架深度解析安全工具
LLM赋能安全领域前沿研究“甚少”,在研究该领域的前沿论文科研时发现了一个很开创性的漏洞检测框架,本文的核心目标是设计一个针对PHP漏洞检测的LLM框架RealVul,以弥补现有研究的不足。具体而言,
阅读全文被黑客攻击、数据泄露?这堂安全课,帮你把风险挡在门外
你有没有想过,一次看似不起眼的安全漏洞,能让一家公司瞬间蒸发30亿美元?2017年,美国征信巨头Equifax就栽了这样的跟头。1.45亿用户的隐私信息被泄露,最终赔偿4.25亿美元才平息风波。可事后
阅读全文JSSS-Find V6.5:接口太多测不完?AI帮你判断高危漏洞
扫描器轻松帮你扫出几百个 API 接口,看似省了不少事,新麻烦却跟着来了 —— 满屏 URL 摆在面前,反而像站在信息荒漠里:看着到处是 “井”,却不知道哪口能挖出 “水”(也就是有价值的漏洞)。现在
阅读全文高版本jdk下的spring通杀链
jsjcw师傅提出的一条链子。只给了一个payload,然后这里来分析一下过程。高版本spring通杀链简单分析我这里是直接搭了一个springboot3环境来进行分析,然后在TemplatesImp
阅读全文CP安全协议:从攻击手法到最佳实践,全景解析
在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此
阅读全文NVIDIA GPU驱动修复多个高危漏洞,存在远程代码执行和权限提升风险
NVIDIA近日为其GPU显示驱动发布了重要安全更新,修复了多个可能导致代码执行、权限提升、数据篡改或拒绝服务的安全漏洞。这些修复覆盖Windows、Linux、vGPU和云游戏组件,涉及R580、R
阅读全文MCP安全协议:从攻击手法到最佳实践,全景解析
jsjcw师傅提出的一条链子。只给了一个payload,然后这里来分析一下过程。高版本spring通杀链简单分析我这里是直接搭了一个springboot3环境来进行分析,然后在TemplatesImp
阅读全文提示词注入实战—通过在线靶场看提示词注入手法
本文通过一个在线靶场,希望帮助大家更好的理解提示词注入的相关手法。这个靶场拿来练习也是很不错的,尤其是现在的AI靶场很少,像经常使用的那些又修复的很快。在线靶场链接:https://prompting
阅读全文lookup TryhackMe
上来先做一个扫描访问10.201.45.109:80vim /etc/hostsip lookup.thm正式访问sqlmap -u "http://lookup.thm/login.php" --d
阅读全文Risen 勒索软件样本逆向分析
Risen 勒索软件是一种加密型恶意软件,它侵入受害者系统后,会加密并重命名文件(通常在原扩展名后添加电子邮件地址与用户 ID,如 “.Default@firemail.de].E86EQNTPTT”
阅读全文2025年十大最佳反欺诈公司
2025年,数字交易量创下历史新高,但欺诈风险也随之攀升。银行、电子商务、金融科技甚至社交网络等行业的企业都面临着越来越大的压力,需要保护其平台免受身份盗窃、支付欺诈和网络安全威胁。现代反欺诈工具已发
阅读全文SillyTavern 存在高危漏洞(CVE-2025-59159,CVSS 9.7),可导致本地 AI 实例遭远程完全控制
大型语言模型(LLM)和 AI 工具的本地托管流行界面 SillyTavern 的开发团队发布安全公告,警告用户其 Web 界面存在高危漏洞(现编号为 CVE-2025-59159),远程攻击者可利用
阅读全文黑客组织勒索39家企业,泄露思科、谷歌及全球航空公司失窃数据
图片来源:ResecurityResecurity公司HUNTER团队最新报告揭露,自称"混沌三位一体"(Trinity of Chaos)的网络犯罪联盟正在实施大规模数据勒索行动。该勒索软件团伙据信
阅读全文Unity实时开发平台漏洞可导致攻击者执行任意代码
Unity Technologies发布紧急安全公告,警告开发者其广泛使用的游戏开发平台存在一个高危漏洞(CVE-2025-59489)。该漏洞会影响使用易受攻击版本Unity Editor构建的应用
阅读全文捷豹路虎与朝日啤酒遭遇网络攻击
当网络犯罪分子能在同一个月内使豪华汽车制造商和大型啤酒生产商陷入停摆时,显然没有任何行业能够免受运营中断的威胁。制造业成为攻击新目标获得英国政府紧急资金支持的捷豹路虎(JLR)正准备在遭遇"英国最严重
阅读全文SpamGPT与MatrixPDF:低门槛AI恶意工具包成为攻击者首选
网络安全领域近期出现新趋势:网络犯罪分子开始青睐用户友好、即插即用的工具,这些工具能让技术能力薄弱的攻击者轻松发动大规模攻击。端到端数据安全提供商Varonis向Hackread披露了两款危险平台的最
阅读全文SOC走向AI自动化面临的关键挑战与解决方案
SOC环境中大语言模型的局限性大语言模型(LLM)和智能代理系统在日常生产力场景中表现出色,包括会议转录与摘要生成、待办事项提取、重要邮件优先级排序乃至旅行规划。但在安全运营中心(SOC)这种错误会带
阅读全文Olymp Loader:基于汇编语言的MaaS平台为低阶网络犯罪分子提供"交钥匙"解决方案
图:Outpost24提供的"Olymp Projects"网络面板截图一款名为Olymp Loader的新型恶意软件即服务(MaaS)产品正在地下市场快速流行。该产品于2025年6月首次被发现,已从
阅读全文微软警示AI驱动的钓鱼攻击:LLM生成的SVG文件绕过邮件安全检测
AI技术助长钓鱼攻击演进微软近期发现针对美国机构的新型钓鱼活动,攻击者疑似利用大语言模型(LLM)生成代码来混淆恶意载荷并规避安全防护。微软威胁情报团队在分析报告中指出:"该活动借助LLM技术,将恶意
阅读全文记一次postgres注入绕过waf
在授权测试某 APP 时,发现一处未授权 sql 注入,但是存在 waf,于是开始了绕 waf 之旅。APP 非开放注册,安装后需使用 OA 用户名、邮箱密码进行登录。但是俺没有测试账号,只能先简单装
阅读全文任意文件读取/删除漏洞
1. 什么是任意文件读取/删除漏洞任意文件读取/删除漏洞,多存在一些文件查看/删除处,由于相关代码未做严格限制,导致跨目录甚至跨盘符情况产生,进而可以查看/删除其他文件,例如数据库配置文件,网站源码等
阅读全文