记一次基于 Host 头的 SSRF+任意文件写入
在一次攻防演练中,内网没什么可突破的点了,扫了一下办公网,发现了一套 E‑Assets Manager 的“CDN 节点资源同步系统”的测试环境,应该是开发在本地搭的环境,所以有一些意外的漏洞点。文章
阅读全文一款功能强大的Chrome信息收集插件
工具介绍 一个功能强大的Chrome扩展,用于快速收集和分析域名相关信息,包括IP地址、公司信息、ICP备案信息和VirusTotal安全检测等。信息收集效果图VT安全检测效果图支持自定义域名搜索主要
阅读全文爆火 AI 智能体 OpenClaw 被发现严重漏洞,可传播 / 植入 macOS 病毒|黑客放出新变种病毒针对fnOS升级!官方紧急通告
关键词AI、恶意软件密码管理工具 1Password 于 2 月 2 日发布博文,其安全团队发现有攻击者利用爆火 AI 智能体 OpenClaw(原名 Clawdbot 和 Moltbot),向 ma
阅读全文当消费者安全意识觉醒:网安领域将面临全新考验
研究人员估算,捷豹路虎遭遇的网络安全事件造成的损失约达19亿英镑。这也使其成为英国有记录以来损失最为惨重的网络攻击事件。然而,相较于未来可能发生的网络入侵,此次的损失规模或许不值一提。英国各地的广播电
阅读全文飞牛系统(fnOS)远程代码执行链:认证绕过
前言在最近针对飞牛OS的0day攻击中,攻击者可能利用了三个漏洞来实现完整攻击链。作者:bron1e,https://github.com/bron1e/fnos-rce-chain任意文件读取认证绕
阅读全文【工具推荐】内网快速打点辅助工具
主要功能主机存活探测、漏洞扫描、子域名扫描、端口扫描、各类服务数据库爆破、poc扫描、xss扫描、webtitle探测、web指纹识别、web敏感信息泄露、web目录浏览、web文件下载、等保安全风险
阅读全文一代人有一代人的“肉鸡”?全球17.5万台Ollama主机曾暴露,中国占比约三成
据国际安全厂商统计,近一年全球17.5万台Ollama主机在公网暴露过,其中2.3万台长期在线,许多都满足可公网访问、无鉴权、长期在线的条件,部分甚至支持工具调用、RAG、图片识别等能力,可随时被攻击
阅读全文“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”|恶意VS Code扩展“ClawdBot Agent”伪装AI助手传播木马
当前流行的AI助手工具Clawdbot正在社交媒体上快速扩散,众多用户通过Mac mini硬件进行部署。但该工具同样适用于容器化环境或虚拟专用服务器(VPS),而默认配置往往会导致服务暴露在公共互联网
阅读全文信息收集思路大总结(太干了)
当我们进行信息收集的时候,可能我们获取到的是一个域名或者公司名称或者一个IP等等,在这种情况下我们需要就需要针对不同的信息来进行下一步操作。 那么我们根据得到的不同信息来分开讲解应该怎么进行下一步收集
阅读全文内网横向边界安全测试工具
项目简介 GYscan是一款专注于内网横向移动和边界安全测试的专业工具,基于Go语言开发。该工具集成了丰富的内网渗透测试功能,包括端口扫描、服务识别、漏洞检测、远程命令执行、弱口令爆破等核心功能,为安
阅读全文暗网现OT攻击框架,伊朗黑客威胁全球能源设施
工业控制系统(ICS)安全领域出现新威胁,Lab52研究人员在暗网发现一款专门针对能源电网和军事网络的复杂攻击框架,表明国家背景黑客组织的网络攻击能力可能正在升级。Part01号称“最全面工控攻击套件
阅读全文2025年新增漏洞5万个,公开遭到利用的不足千个
2025年新增的CVE漏洞数量目前大约为4.8万个,但公开遭到利用(KEV)的仅884个;漏洞利用速度已成为防御方面临的核心挑战,如果企业能将安全资源优先用于已遭利用漏洞,将极大减缓安全噪音、降低暴露
阅读全文通过某云音乐实现白加黑上线
文章作者:先知社区(1107498922678776)文章来源:https://xz.aliyun.com/news/16171通过某云音乐白加黑实现上线文章声明本文章中所有内容仅供学习交流,严禁用于
阅读全文GUI | CVE-2026-24061 telnetd 身份验证绕过漏洞检测与利用工具
工具介绍这是一个用于检测和利用 CVE-2026-24061 漏洞的 GUI 工具。该漏洞是 GNU Inetutils telnetd 身份验证绕过漏洞,允许攻击者无需用户名和密码即可获取 root
阅读全文政府泄露数千万公民求职信息被罚超4100万元
4300万民众的求职信息泄露,按法国总人口6800万计算,占比高达63%。法国数据保护机构对国家就业服务机构处以500万欧元(约合人民币4145万元)的罚款,原因是其未能妥善保护求职者数据。该安全漏洞
阅读全文AI扩大攻击面,大国博弈引发安全新挑战
随着全球人工智能引擎持续加速运转,人们对其底层基础设施所面临威胁的担忧也与日俱增。AI Agent的兴起引发了一系列新问题:需要何种级别的安全控制来管理其访问权限与行为?如何确保Agent间通信协议的
阅读全文豆包手机掀起 AI 风暴:智能便利背后的安全与规则之争
近期,字节跳动旗下豆包与中兴努比亚联手推出的豆包手机(努比亚 M153) 强势出圈,成为科技圈热议焦点。这款产品最吸睛的设计,莫过于开创了智能手机与 AI 深度融合的全新形态,无需繁琐操作,只需一句语
阅读全文一个专为 AWD/AWDP 设计的竞赛自动化平台,提供 IP探测、WebShell 管理、SSH 终端、基线加固、Flag 读取等核心功能
工具介绍LingOps(灵控) 是一个专为 AWD/AWDP 攻防竞赛设计的竞赛自动化平台,提供 IP探测、WebShell 管理、SSH 终端、基线加固、Flag 读取等核心功能,帮助参赛选手在比赛
阅读全文首次披露!国家级电网险遭大停电,数十处电站通信设备被攻击瘫痪
结合多家安全厂商的事件响应报告,波兰电网险遭大停电事件,带有明显的IT、OT协同攻击特征,攻击者通过防火墙等边界系统漏洞突破了数十个分布式电站的网络防护,劫持RTU通信设备令其无法运行和恢复,并在IT
阅读全文2025年国内外网络安全法规政策年鉴
2025 年全球网络安全法规政策聚焦数据安全、AI 治理、关键信息基础设施保护等核心领域,我国持续完善网络安全法律体系,细化合规要求与责任界定,欧美等国强化监管规则与技术落地标准,形成了兼具地域特色与
阅读全文Promptware:新兴AI攻击威胁与五步杀伤链分析
随着大型语言模型(LLM)在商业与技术领域的深度落地,智能客服、自动化代理、日程管理、代码执行乃至金融交易等场景均已被其重塑。然而,技术快速渗透日常运营的背后,AI安全隐患正加速浮出水面。研究人员指出
阅读全文基于AI的自主渗透测试平台 | AI-Powered Autonomous Penetration Testing Platform
介绍KaliGPT-Attack Platform 是一个创新的AI驱动的自主渗透测试工具,采用独特的三模块架构(推理、生成、解析),有效解决了传统LLM在长时间渗透测试过程中的上下文丢失问题。该工具
阅读全文ICE盯上你的广告ID:美国政府正光明正大“买”你的位置数据!
2026年开年没多久,美国移民与海关执法局(ICE)就扔下一枚重磅“数据炸弹”——1月23日正式在SAM.gov上发布了一份RFI(Request for Information),公开向广告科技(A
阅读全文真正的安全风险来源于工作流,而不是大模型本身
随着 AI 助手工具逐渐嵌入日常工作,安全团队的关注点仍主要集中在保护大模型本身。但近期发生的事件表明,更大的风险其实存在于别处:即围绕这些大模型的工作流程之中。最近发现两款伪装成 AI 辅助工具的
阅读全文耐克1.4TB核心数据被黑客组织公开:含未发布产品设计与供应链机密
全球运动服饰巨头耐克近期遭遇重大网络安全事件。勒索组织WorldLeaks公开宣称入侵其内部系统,窃取1.4TB敏感数据并发布至专属泄露站点,涉及近19万份文件,涵盖产品研发、供应链管理、商业战略等核
阅读全文国密TLS协议传输数据抓包
分析在一次测试某个银行的一个安卓APP的时候,设置代理,绕过常见的抓包限制后,发现使用BurpSuite能抓到APP关键业务的请求,但是服务端接受到请求后无法正确响应,具体表现就是在Burp中的Res
阅读全文国家级攻防演习结果公布:政府系统全沦陷 公民数据可任意访问
韩国审计部门等发起了一次针对全国重点公共系统的渗透测试模拟攻防演习,结果非常严峻,被测7个系统全部发现安全漏洞,可任意访问公民信息、窃取敏感数据;测试发现,部分系统的安全防护措施不足,如退休员工权限未
阅读全文StealC恶意软件C2系统被攻破,攻击者反被溯源锁定
近日,CyberArk Labs的安全研究人员成功利用StealC恶意软件基础设施中的漏洞,攻入攻击者C2系统,并通过其被盗的会话凭证反向锁定威胁主体身份。此次入侵暴露了以凭证窃取为核心的犯罪运营团队
阅读全文“6000人”的荐股群,5000多个托
近日,长春警方紧急处置了一起“线上诈骗、线下取金”的电信诈骗案件。当办案人员火速赶到被害人家中时,被害人正准备携带500多克黄金出门送给骗子。500多克黄金险被骗办案人员紧急拦截面对突然出现的办案人员
阅读全文CVE-2026-24061 telnet远程认证绕过漏洞批量检测工具
工具介绍Tell Me Root(基于cve-2026-24061 telnet远程认证绕过漏洞的批量检测工具)CVE-2026-24061 是 GNU inetutils telnetd中的未授权访
阅读全文