基于TRAE Solo模式的安全开发之旅

作为一名安全运营人员，我经常需要处理各种安全开发需求。最近，我因为要处理通过墨菲安全平台每天扫描SBOM风险的镜像漏洞报告，200+个项目，扫描出的直接依赖和间接依赖的组件风险，高达500+个，因此萌

【安全工具更新】CVE-2025-55182 批量检测工具，已适配哥斯拉内存马注入连接。

重要声明本工具仅面向已授权的渗透测试、红队评估、安全研究及企业内部漏洞验证场景。严禁用于未授权系统、生产环境或任何非法目的。使用者须自行承担全部法律责任。推荐下棉花糖师傅的靶场，各种漏洞复现一直在用，

深度剖析：React Server Components安全漏洞CVE-2025-55182

关于React Server Components安全漏洞（CVE-2025-55182），我们前面已经发过两篇文章了，但都是在谈怎么复现，没有对漏洞的本质进行分析，不太符合隐侠的风格哈哈。一般不喜欢

一文带你领略Solana的技术吸引力

区块链是一种 去中心化的数字账本技术 ，通过分布式网络将交易记录存储在一系列相互链接的区块中，实现了无需信任第三方的价值转移和数据存储。区块链就像是一个 全球共享的电子表格 ，由成千上万台计算机同时维

技术深度：CEX vs DEX，安全性能的较量与分析

2025年11月27日，韩国最大加密货币交易所Upbit的Solana链上热钱包遭到黑客攻击，损失高达3043万美元；仅仅4天前，DeFi协议Balancer在多条链上的V2资金池被攻击，攻击者通过操

React 远程代码执行漏洞（CVE-2025-55182）复现注意要点

少侠们，经过东方隐侠不断的实践，总结了针对 React 远程代码执行漏洞 （对应CVE-2025-55182） 的复现注意要点。01核心漏洞要点漏洞本质利用 React Server Componen

CVE-2025-55182：React Server Components 远程代码执行漏洞

PART 01漏洞概览与影响漏洞编号：CVE-2025-55182, CVE-2025-66478漏洞名称：React Server Components (RSC) 远程代码执行漏洞影响组件：rea

【第五空间简史】第10节 莫里斯蠕虫：第一次代码失控事件

1988年11月2日的下午，平静的学术网络泛起了涟漪。彼时，“互联网”尚未成为今日家喻户晓的全球基础设施，它更多指的是由美国国防部高级研究计划局资助的ARPANET及其衍生出的学术互联网络。这个网络连

TCP打洞技术深度解析：网络通信的边界突破与防御

随着企业服务上云和vpn技术的发展，传统的网络边界正加速瓦解。这种背景下，红队利用TCP打洞等常见通信技术建立隐蔽后门，本质上就是利用了网络协议设计的“善意”与“信任假设”，将控制流伪装成数据流，从而

【第五空间简史】第8节 真正具备完整特征的电脑病毒诞生

若要为网络安全史找一些关键里程碑，绕不过 1986 年的C-Brain病毒。它的重要性不在于给当时网络安全造成了多大损失，而在于给行业展示了一种全新的、可以跨越物理边界的代码工作模式。那时的安全问题，

【第五空间简史】第9节 圣诞树下的首次系统性危机

如果说 1986 年的 Brain 确立了代码可以在软盘介质上自主繁殖，那么仅仅一年后，1987 年的“圣诞树蠕虫”（Christmas Tree EXEC）则证明了：当这种复制能力被移植到网络上，其

攻防对决：高效溯源攻击者，证据固定不再难！

在攻防对抗与应急响应场景中，防守方获取攻击者远程 Shell 或控制权限后，快速、合规地提取主机关键信息，是定位威胁源头、绘制攻击者画像及支撑后续处置的核心环节。本文基于模拟攻防对抗实战经验，系统拆解

【第五空间简史】第6节 入侵检测专家系统（IDES）出现

在肯·汤普森（Ken Thompson）的图灵奖演讲揭示了“绝对安全在逻辑上无法证明”的悖论之后，整个安全界被迫承认一个令人不安的事实：被入侵是无法避免的。基于此，我们不能再寄希望于建造一道永远不陷落

【第五空间简史】第7节 黑客如何成为一夜之间的“反派”

01序幕：纯真的黄昏1983年，计算机还不是家家户户的电器，它更像是一种属于极客和学者的玩具。那时候，计算机用户对彼此抱有天真的信任，一个名叫弗雷德·科恩的学者还在实验室里，以严谨的数学逻辑，试图为他

【第五空间简史】第4节 弗雷德·科恩与“病毒”的命名

如果说1983年的RSA专利是试图为数字世界“上锁”，那么同一年，在南加州大学（USC），一个博士生则向世界证明了“门”的幻觉。这个学生是弗雷德·科恩（Fred Cohen）。他所做的工作，其分量不在

【第五空间简史】第5节 对“信任”的反思

1984年，在计算机科学的殿堂——图灵奖的颁奖典礼上，肯·汤普森（Ken Thompson）因 “对通用操作系统理论的发展，以及特别是 UNIX 操作系统的实现”而获奖，但他没有发表歌功颂德的致辞，而

【第五空间简史】第1节 爬行者（Creeper）

这是一部关于边界的历史。我们如何在一个本质上去边界化的数字疆域中，绘制、构筑并不断重塑安全的防线。从实验室里的第一行病毒代码到全球基础设施面临的战略攻击，这不仅是技术的升级，更是一场关于控制、权力、信

【第五空间简史】第2节 缓冲区溢出“前传”

1971年的Creeper向我们证明，网络中的“机器之间”存在信任问题。而1972年，一份在当时近乎晦涩的技术报告，向我们揭示了一个更幽深、更根本的困境：在“程序之内”，我们甚至不能信任数据。这份报告

【第五空间简史】第3节 密码学的数学转向与革命

在Creeper幽灵般漫游在网络中、缓冲区溢出线索被发现之前，一个更古老、更根本的问题始终困扰着人类：我们如何在不被窃听的世界中，传递秘密？网络安全的发展史，不仅仅是“攻”与“防”的历史，它首先是“藏

【第五空间简史】第1节 爬行者（Creeper）

这是一部关于边界的历史。我们如何在一个本质上去边界化的数字疆域中，绘制、构筑并不断重塑安全的防线。从实验室里的第一行病毒代码到全球基础设施面临的战略攻击，这不仅是技术的升级，更是一场关于控制、权力、信

构建大模型安全自动化测试框架：从手工POC到AI对抗AI的递归Fuzz实践

随着大语言模型（LLM）在企业服务、智能客服、代码生成等场景中的广泛应用，其安全性问题也日益凸显。传统的人工测试方式——即通过人工构造Prompt、逐条发送请求并观察响应内容来判断是否存在越狱、指令注

零知识证明（ZKP），解锁隐私计算的硬核密码

在隐私计算领域，“证明你有权限”与“保护核心数据”总是矛盾的焦点。比如，证明“我有私钥”却不能泄露私钥本身，或者验证“我满18岁”但不能暴露生日。零知识证明（Zero-Knowledge Proof，

中秋佳节，愿君安，福满添

反向代理是什么？ZeroNews 如何帮你实现安全内网穿透

“上周刚把内网的测试服务通过端口转发暴露到公网，结果第二天就收到了 17 次恶意扫描提醒，吓得我赶紧关掉 —— 可合作伙伴还等着看项目进度，这活儿没法干了！”做运维、开发或者企业 IT 的你，是不是也

Python 代码审计实战指南：从漏洞原理到防御策略

在 Web 安全领域，Python 凭借其简洁高效的特性成为主流开发语言之一，但随之而来的安全问题也日益凸显。无论是 XSS、SQL 注入等传统漏洞，还是反序列化、沙箱逃逸等 Python 特有的风险

30分钟搞定正向代理！Neo-reGeorg+Proxifier从原理到内网访问落地

做安全测试、内网运维时，你是不是也遇到过这些痛点：想访问目标内网资源却被网络隔离拦住，用反向代理又怕“弹shell”被监测溯源，好不容易找了教程却卡在“配置了但不生效”的坑？今天分享的这份干货，直接帮

聊透 CI/CD 安全的 “反坑指南”：从代码到部署的每一步都有实招

引言做 DevSecOps 这么多年，见过太多团队栽在 CI/CD 的 “隐形坑” 里：有因为 Jenkins 账号权限没锁死，被攻击者篡改构建脚本投毒的；有第三方依赖没做 SBOM，用了被植入恶意代

银狐木马：隐匿威胁与防范攻略

引言在数字化时代，网络安全威胁如影随形，其中 “银狐” 木马病毒正悄然成为众多用户的棘手难题。近期，国家计算机病毒应急处理中心等机构依托国家计算机病毒协同分析平台，在我国境内连续捕获一系列针对网络用户

QaFuzz：关于测试域名的漏洞挖掘工具

引言工具地址：https://github.com/darkfiv/QaFuzz作者：东方隐侠安全团队 DarkFi5在挖掘某SRC的过程中，我发现了一种适用于该SRC的通用挖掘思路。随笔记录下来，希

2025演练燃启！少侠，请亮剑赴战！