暴露的 JDWP 在野外被利用：当调试端口被留下开放时会发生什么

Exposed JDWP Exploited in the Wild What Happens When Debug Ports Are Left Open介绍在例行监控期间，Wiz 研究团队观察到一

Vite 任意文件读取漏洞(CVE-2025-30208)

前言看到群里有人发了一个链接https://github.com/ThumpBo/CVE-2025-30208-EXP发现这个漏洞危害很大很大，而且利用起来也是非常的容易而且资产也是比较多的于是分析分

谷歌Chromium输入验证零日漏洞正遭攻击者利用

美国网络安全与基础设施安全局（CISA）发布紧急预警，威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞（CVE-2025-6558）。该漏洞影响所有基于Chromium内核的浏览器，包

SRC挖掘之“捡”洞系列

在SRC挖掘中，当输入单引号，出现报错，会不会高兴的跳起来，然后打开sqlmap，level设到最高，以为自己竟然能捡到洞，运气真好，结果却是does not seem to be injectabl

Android四大组件常见漏洞

Activity基本介绍显式打开Activity通过putExtra和getStringExtra传参隐式Intent打开Activity只有<action>和<category>中的内容能够匹配上I

某会员专属靶场—Delegation

靶场地址:https://vip.bdziyi.com/bc/入口信息收集C:\Users\35031\Desktop>fscanPlus_amd64 -h 10.10.0.10 -p 1-65535

红队利用 VSCode 扩展插件实现钓鱼功能

1. 引言在最近一次红队行动中，MDSec 受命策划一次用于获取初始访问权限的网络钓鱼活动。特殊之处在于，被选中的钓鱼对象是开发人员，其技术能力远高于普通用户。因此，他们不太可能落入常见的载荷与陷阱。

php 文件上传不含一句 php 代码 RCE 最新新姿势

前言学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析Deadse

DC-9靶机复现

查看靶机ip：arp-scan -l端口扫描nmap -sV -p- 192.168.130.150目录扫描dirsearch -u 192.168.130.150 -i 200这次好像没有啥有用的文

哥斯拉的连接流程分析以及实现自己的魔改webshell

项目配置一般看网上的教程是反编译jar包,然后配置启动类,配置依赖库,就完成了,这里教程不做赘述贴个反编译的网站: Java decompiler online还有一种办法是去GitHub搜别人上传好

2025年网络威胁态势持续恶化，勒索软件激增179%，凭证窃取暴涨800%

（图片来源：Shutterstock）根据Flashpoint最新威胁情报报告显示，2025年前六个月，信息窃取恶意软件激增、漏洞披露延迟以及创纪录的勒索软件攻击已让全球防御者疲于应对。网络犯罪分子已

不忘历史—对岛国网站的sql注入

了解历史，铭记 731 部队的罪行，是每个中国人乃至全世界热爱和平的人都应坚守的历史认知。这不仅是对无数受害者的告慰，更是防止历史悲剧重演的重要前提。731 部队是日本帝国主义在第二次世界大战期间，在

AI成功绕过"人机验证"系统，ChatGPT智能代理突破CAPTCHA验证

（图片来源：Reddit）验证机制遭遇AI挑战Cloudflare推出的Turnstile CAPTCHA功能旨在实现自动化验证，减少传统基于图像选择或点击验证带来的操作障碍。理论上，这套机制应该能够

GitHub全球核心服务中断事件全过程

全球性服务中断2025年7月28日，GitHub发生大规模服务中断，影响全球数百万依赖该平台的开发者和组织。此次事件波及API请求、问题跟踪和拉取请求等核心功能，暴露出全球软件开发所依赖的云端协作工具

Wiz级多云安全平台，资产真实风险一张图看清，正式开放使用！

云安全太复杂？5 分钟实现 Wiz 式扫描技术创新主要功能威胁情报和指标多云资产统一真实风险评估图形查询攻击路径云上入侵处置合规性报告常见问题长期平台规划2025年7月攻防演练期间， 安多多宣布正式推

原创 | 《茶汤与月光》

茶汤与月光——记一个夜班之后的清晨凌晨四点，我拎着医院门口五块钱一杯的豆浆，站在公交站牌下。豆浆已经凉了，像这四年来所有赶早班的日子。我老婆在急诊室干了四年，白大褂的袖口洗得发白。去年新来的小张，三

谷歌Chromium输入验证零日漏洞正遭攻击者利用

美国网络安全与基础设施安全局（CISA）发布紧急预警，威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞（CVE-2025-6558）。该漏洞影响所有基于Chromium内核的浏览器，包

JavaScript 库高危漏洞致数百万应用面临代码执行攻击风险

漏洞概述广泛使用的 JavaScript form-data 库近日曝出高危安全漏洞（CVE-2025-7783），可能导致数百万应用程序面临代码执行攻击风险。该漏洞源于该库使用可预测的 Math.r

原创 | 浮生若梦，逆天成仙

在浩渺的仙侠世界里，《仙逆》宛如一颗璀璨的星辰，以其跌宕起伏的情节、深刻的情感羁绊和对人性的细腻刻画，深深吸引了我。这部国产动漫不仅展现了绚丽的仙侠画卷，更以其独特的魅力，让我在观剧后久久沉浸其中，难

清华大学招聘漏洞挖掘工程师

清华大学招聘漏洞挖掘工程师和漏洞挖掘博士后（薪酬面议，base北京）浪师父认为：稳定、体面和福利好的工作到哪里找：与清华大学签订正式合同，工程师序列职工，在清华大学校内工作，办理清华大学工作证，享受清

原子级 macOS 信息窃取程序升级：新增后门实现持久化控制

臭名昭著的 Atomic macOS Stealer（AMOS，原子级 macOS 窃取程序）恶意软件近期完成危险升级，全球 Mac 用户面临更严峻威胁。这款与俄罗斯有关联的窃密程序首次植入后门模块，

护网交流加群

护网 | Nacos攻击面、配置文件攻防思路及技巧

0x01 前言 当渗透测试遇到成百上千的Nacos节点，你会怎么做？99%的人只会盯着RCE漏洞，却忽略了真正的漏洞利用点——配置文件！笔者亲历证明：集群环境下配置分析的漏洞深度利用危害极高。本文揭秘

护网 | xxl-job漏洞综合利用工具

这次团队在某市州护网，分享一点实战心得，这个工具值得大家收藏，相信浪师父。声明：仅用于授权测试，用户滥用造成的一切后果和作者无关 请遵守法律法规！0x01 工具介绍 xxl-job-attack一款针

浅谈SSO认证原理及常见安全问题

前言在一次测试过程中，遇到了一个公司的应用全部采用SSO登录的情况，所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应

Jeecg-boot常见漏洞汇总

前言jeecg-boot漏洞笔记记录一下，大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给出来了，基本就是我的笔记。如果，有不对的可以指正一下，一起学习。jeecg-boot介绍JeecgB

原创 | 给徒弟们的一封信！

徒弟们，我们聊聊未来！时光荏苒，转眼间我们一起走过了三年的时光。看着你们从青涩懵懂逐渐成长为如今的模样，我的心情无比复杂。今天，我想和你们好好聊聊，关于未来，关于学习，关于人生。先说说学习这件事吧。

Cdp协议深度应用Web渗透加解密

渗透测试与加解密作为一个苦逼的安服仔，在不断接收全国各地的奇奇怪怪的安服项目的洗礼后，这些奇奇怪怪项目一开始只是简单的web加解密签名，再到小程序加解密，最后是APP的加解密。有些时候会真的很疑问，这

DES 加密解密实现之旅

1. 概述本文将记录从某次渗透实战登录遇到的des加密，分析 des.js 和 login.jsp 文件到成功实现加密解密功能的全过程。通过这一过程，不仅深入理解了 DES 加密算法的实现细节，还成功

shiro反序列化漏洞原理分析

前言：本文不包含CB链分析，只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析：序列化过程：1.调用convertPrincipalsToBytes方法并传递数组类型的实例accountPrinci