CVE-2025-0566 A15-MIPS架构下栈溢出漏洞复现
漏洞简介蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞,攻击者可以利用 SQL 注入漏洞获取数据库中的信息(管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向
阅读全文DNS 域传送漏洞:原理、危害及防御
关于 DNS 的原理,这里不在做说明,你只需要知道他是 53 UDP 端口即可,以及 Wireshark 走的协议是什么样的What?那么什么是 DNS 域传送?我们都知道 DNS 服务器分为 DNS
阅读全文黑客活动分子与僵尸网络推高DDoS攻击浪潮:2025年7月网络攻击态势分析
NETSCOUT最新分析报告显示,2025年7月期间,由僵尸网络驱动的分布式拒绝服务(DDoS)攻击呈现急剧上升趋势,每日攻击事件数以千计,且存在明显的黑客活动分子参与迹象。攻击规模与特征报告指出:"
阅读全文原创 | 浪浪山外,谁听猿啼—给同样踽踽独行的你
浪浪山外,谁听猿啼——给同样踽踽独行的你(一)夜看《浪浪山小妖怪》,灯影在墙上晃成一片荒林。小野猪提着豁口的木刀,一趟趟冲向画着骷髅的旗门,又一遍遍被人类的铁甲撞回泥浆。它仰头嘶喊,声音却被山风剪碎
阅读全文黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞
据ThreatMon报告,某黑客组织正在兜售一个Windows零日远程代码执行(RCE)漏洞利用程序,声称该漏洞可攻击已完全更新的Windows 10、Windows 11和Windows Serve
阅读全文黑客利用思科安全链接绕过扫描检测与网络过滤
安全研究人员发现一起复杂攻击活动,网络犯罪分子正将思科(Cisco)自身的安全基础设施武器化用于网络钓鱼攻击。攻击者利用思科安全链接(Safe Links)技术——该技术原本用于保护用户免受恶意URL
阅读全文新型钓鱼攻击利用日语字符"ん"伪装斜杠实施欺诈
安全研究人员发现了一种新型钓鱼攻击活动,攻击者利用日语平假名"ん"(Unicode U+3093)创建极具欺骗性的URL,这些网址看起来非常逼真,甚至能骗过警惕性较高的互联网用户。该攻击由安全研究员J
阅读全文新型FireWood恶意软件攻击Linux系统执行命令并窃取敏感数据
恶意软件变种分析网络安全研究人员发现FireWood后门程序的新型变种,该变种针对Linux系统,具备更强的规避检测能力和简化的命令执行功能。这一最新版本标志着该恶意软件家族的显著进化,ESET研究团
阅读全文上万次攻击、窃取140GB数据,入侵西工大的“幕后黑手”终现形
央视新闻消息,近期,西北工业大学遭遇境外网络袭击事件引起各方关注。根据国家计算机病毒应急处理中心发布的报告,幕后黑手来自美国国家安全局“特定入侵行动办公室”。这是一个什么机构?美国“国家黑客”究竟有哪
阅读全文GPT-5安全机制不堪一击,研究人员通过回声室与叙事攻击成功破解
研究人员通过精心设计的回声室(echo chamber)和叙事攻击手段成功突破了OpenAI最新GPT-5模型的安全防护,暴露出这一尖端AI系统的关键漏洞。这一突破性发现表明,对抗性提示工程能够绕过最
阅读全文利用参数污染结合JS注入绕过WAF防护执行XSS攻击
研究人员发现了一种通过HTTP参数污染技术结合JavaScript注入来绕过Web应用防火墙(WAF)的高级方法。这项由Bruno Mendes开展的研究测试了包括AWS、Google Cloud、A
阅读全文暴露的 JDWP 在野外被利用:当调试端口被留下开放时会发生什么
Exposed JDWP Exploited in the Wild What Happens When Debug Ports Are Left Open介绍在例行监控期间,Wiz 研究团队观察到一
阅读全文Vite 任意文件读取漏洞(CVE-2025-30208)
前言看到群里有人发了一个链接https://github.com/ThumpBo/CVE-2025-30208-EXP发现这个漏洞危害很大很大,而且利用起来也是非常的容易而且资产也是比较多的于是分析分
阅读全文谷歌Chromium输入验证零日漏洞正遭攻击者利用
美国网络安全与基础设施安全局(CISA)发布紧急预警,威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞(CVE-2025-6558)。该漏洞影响所有基于Chromium内核的浏览器,包
阅读全文SRC挖掘之“捡”洞系列
在SRC挖掘中,当输入单引号,出现报错,会不会高兴的跳起来,然后打开sqlmap,level设到最高,以为自己竟然能捡到洞,运气真好,结果却是does not seem to be injectabl
阅读全文Android四大组件常见漏洞
Activity基本介绍显式打开Activity通过putExtra和getStringExtra传参隐式Intent打开Activity只有<action>和<category>中的内容能够匹配上I
阅读全文某会员专属靶场—Delegation
靶场地址:https://vip.bdziyi.com/bc/入口信息收集C:\Users\35031\Desktop>fscanPlus_amd64 -h 10.10.0.10 -p 1-65535
阅读全文红队利用 VSCode 扩展插件实现钓鱼功能
1. 引言在最近一次红队行动中,MDSec 受命策划一次用于获取初始访问权限的网络钓鱼活动。特殊之处在于,被选中的钓鱼对象是开发人员,其技术能力远高于普通用户。因此,他们不太可能落入常见的载荷与陷阱。
阅读全文php 文件上传不含一句 php 代码 RCE 最新新姿势
前言学到这个 trick 的时候只能说,php 是最好的语言,还没有落幕,每次看到 php 的新 trick 都不得不为之震惊,如何没有 php 代码做到代码执行,实战价值很大,看下面分析Deadse
阅读全文哥斯拉的连接流程分析以及实现自己的魔改webshell
项目配置一般看网上的教程是反编译jar包,然后配置启动类,配置依赖库,就完成了,这里教程不做赘述贴个反编译的网站: Java decompiler online还有一种办法是去GitHub搜别人上传好
阅读全文2025年网络威胁态势持续恶化,勒索软件激增179%,凭证窃取暴涨800%
(图片来源:Shutterstock)根据Flashpoint最新威胁情报报告显示,2025年前六个月,信息窃取恶意软件激增、漏洞披露延迟以及创纪录的勒索软件攻击已让全球防御者疲于应对。网络犯罪分子已
阅读全文不忘历史—对岛国网站的sql注入
了解历史,铭记 731 部队的罪行,是每个中国人乃至全世界热爱和平的人都应坚守的历史认知。这不仅是对无数受害者的告慰,更是防止历史悲剧重演的重要前提。731 部队是日本帝国主义在第二次世界大战期间,在
阅读全文AI成功绕过"人机验证"系统,ChatGPT智能代理突破CAPTCHA验证
(图片来源:Reddit)验证机制遭遇AI挑战Cloudflare推出的Turnstile CAPTCHA功能旨在实现自动化验证,减少传统基于图像选择或点击验证带来的操作障碍。理论上,这套机制应该能够
阅读全文GitHub全球核心服务中断事件全过程
全球性服务中断2025年7月28日,GitHub发生大规模服务中断,影响全球数百万依赖该平台的开发者和组织。此次事件波及API请求、问题跟踪和拉取请求等核心功能,暴露出全球软件开发所依赖的云端协作工具
阅读全文Wiz级多云安全平台,资产真实风险一张图看清,正式开放使用!
云安全太复杂?5 分钟实现 Wiz 式扫描技术创新主要功能威胁情报和指标多云资产统一真实风险评估图形查询攻击路径云上入侵处置合规性报告常见问题长期平台规划2025年7月攻防演练期间, 安多多宣布正式推
阅读全文原创 | 《茶汤与月光》
茶汤与月光——记一个夜班之后的清晨凌晨四点,我拎着医院门口五块钱一杯的豆浆,站在公交站牌下。豆浆已经凉了,像这四年来所有赶早班的日子。我老婆在急诊室干了四年,白大褂的袖口洗得发白。去年新来的小张,三
阅读全文谷歌Chromium输入验证零日漏洞正遭攻击者利用
美国网络安全与基础设施安全局(CISA)发布紧急预警,威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞(CVE-2025-6558)。该漏洞影响所有基于Chromium内核的浏览器,包
阅读全文