开箱即用!Chrome渗透神器「功能全拉满」
还在为渗透测试装一堆插件来回切换吗?HackBar、信息收集、指纹识别、XSS、SQL注入、JS审计、Shodan查询……今天给大家推荐一款全能型渗透浏览器插件:黄油曲奇。一个插件 = 一整套渗透工具
阅读全文Windows Defender LPE 0day 漏洞
RedSun - Windows Defender LPE 0day 漏洞:当 Windows Defender 检测到恶意文件带有云端检测标签时,它可能会将检测到的文件重写回其原始位置,而不仅仅是将
阅读全文AI安全模型的"神话"营销:焦虑是怎么变成生意的
导语:2026年4月,网络安全圈被两则消息刷屏——Anthropic说Claude发现了"几千个零日漏洞",但太危险不能给你用;OpenAI反手就出了个"防御专用"的GPT-5.4-Cyber。听起来
阅读全文某金融官网SQL注入bypass阿里云盾
本篇文章仅用于技术交流,请勿利用文章内的相关技术从事非法测试,由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。一、前言 在某次对金融单位官网的渗透测试
阅读全文【视频】一键式 NTLM 泄露漏洞
利用截图工具应用程序进行 NTLM 泄露。概括此漏洞允许远程攻击者泄露受影响版本的截图工具应用程序用户的 NTLM 响应。利用此漏洞需要用户交互,即目标用户必须访问恶意页面或打开一个链接,该链接将通过
阅读全文Burp Suite XSS 自动化检测AI插件 | 反射 / DOM 型、Payload 高效注入、AI校验与判定
工具介绍XSS_Scanner 是 Burp Suite 的 XSS 自动化检测插件,支持反射 / DOM 型 XSS 扫描,集成 Payload 注入校验与 AI 判定,高效发现 XSS 漏洞。下载
阅读全文老炮看着都心惊——真实案例揭秘身边的安全陷阱
导语:4月15日是第十一个全民国家安全教育日。国家安全机关披露多起真实案例,从旅游博主诱惑到移民骗局,从留学迷失到航拍窃密,普通人如何在不经意间卷入危害国家安全的漩涡?这些故事值得每个人警惕,网络安全
阅读全文黑客编写恶意代码,操控2000余个账户疯狂套现APP积分
黑客编写恶意代码,操控2000余个账户疯狂套现APP积分,涉案金额高达19万元。 湘潭岳塘警方经过缜密侦查,辗转江西、河南、四川、浙江四省,最终将犯罪嫌疑人魏某、李某成功抓获,并为企业追回18万元经济
阅读全文把AI大脑装进BurpSuite,自动挖洞真的来了!
还在一条一条翻Burp的HTTP历史?还在等死板的主动扫描出一堆没用的结果?现在有个能彻底改变工作流的Burp插件——Burp AI Agent。它不是简单的AI对话小工具,而是把大模型深度嵌入Bur
阅读全文【视频】CVE-2025-2563: WordPress 提权
CVE-2025-2563:4.1.2 之前的 WordPress 用户注册和会员插件在启用会员附加组件时,无法阻止用户设置其帐户角色,从而导致权限提升问题,并允许未经身份验证的用户获得管理员权限。
阅读全文BrowserGate 深挖:领英如何通过 6,236 条指纹,在几十毫秒间撬光你的职业秘密
引言:今天,安全圈被称为BrowserGate的话题刷屏。多项安全调查指控微软推出的LinkedIn浏览器插件发起了“现代史上最大规模的商业间谍活动”。微软旗下的LinkedIn正在对访问其网站的每一
阅读全文无授权追踪:全球广告情报监控网络全面曝光
你有没有想过,当你打开天气应用查看气温,使用导航软件规划路线,或者玩一款免费的手机游戏时,你正在将自己的精确位置拱手相让。这些看似无害的日常行为产生的数据,正在通过一条隐秘的全球供应链,流向世界各地的
阅读全文Windows应急响应内存检索工具,支持进程内存扫描+网络外联关联,快速定位恶意进程
工具介绍Memscan 内存检索工具大模型辅助下(Gemini+豆包)Go编写的Windows 应急响应工具,快速扫描全进程内存中的恶意域名 / IP / 特征码,自动关联进程活跃 TCP 外联。核心
阅读全文Google Chrome WebGL 越界读/写漏洞允许远程代码执行。
Google Chrome WebGL 越界读/写漏洞允许远程代码执行。#opendirHVV快开始了,有点东西,好过些别的不多说了,公众号后台留言,今天2026年4月14日,中午12点之前,我会回复
阅读全文Signal不再安全,消息可取证上法庭
导语:信息安全论坛今日疯传一项技术突破:FBI 宣布找到通过 iPhone 通知存储机制恢复已删除 Signal 消息的方法。尽管 Signal 的端到端加密依然坚固,但系统级取证让阅后即焚功能形同虚
阅读全文一次针对"固若金汤"的 OAuth redirect_uri 的攻破之
说到漏洞挖掘,身份认证系统始终是 Voorivex 最钟爱的切入点。如今,大厂的认证体系往往层叠着无数实现细节和错综复杂的底层逻辑——每次深入测试,就像在拼一道充满未知变量的烧脑谜题。听起来不过是"测
阅读全文【视频】React 服务器函数原型污染 (RCE)
文章来源:这个视频值得研究,主要是:当前现代 Web 框架(如 Next.js)中 服务器组件(RSC) 与 客户端运行时 之间序列化机制的安全性边界1. 漏洞基本信息CVE 编号:CVE-2025-
阅读全文巨大丑闻——帝国主义网络之心的完美缩影
“越窄的SSL证书,越容易被证书链控制。”——一位想象中的SSL漏洞研究者如果这话听起来像是阴谋论,那么请你先看一眼Citizen Lab最新报告中的事实:一个名叫Webloc的系统,正在利用你每天刷
阅读全文30 秒接管苹果账号!中东记者被跨国网络间谍攻击,背后竟是这个APT组织
近期,国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Lookout发布了三份调查报告,揭露了一起持续三年的跨国雇佣黑客行动。该行动专门针对中东和北非
阅读全文金融行业只有并发和越权?
文章来源:https://blog.chain0x0.com/blog/序言最近一直在研究新东西,很久没有写文章记录了,刚好把博客网站装修了一下(停运了快几个月,本来都打算下线了,但是期间有几个师傅都
阅读全文【视频】React 服务器函数原型污染 (RCE)
这个视频值得研究,主要是:当前现代 Web 框架(如 Next.js)中 服务器组件(RSC) 与 客户端运行时 之间序列化机制的安全性边界。1. 漏洞基本信息CVE 编号:CVE-2025-5518
阅读全文ZachXBT:我是如何将全世界最顶级的 3 个社工猎手送进监狱
导语:凌晨 3 点的迈阿密夜店,一个年轻人把爱马仕包当传单一样撒向人群。他不知道的是,同一时间,大洋彼岸的屏幕上,他的真实 IP 正在闪烁。2.43 亿美元的狂欢,倒计时开始了。一、那一夜,4064
阅读全文对网络安全从业者的一席话
有些同志,丢了手动逆向挖洞的硬手艺,软了实战攻防对抗的铁脊梁!迷信什么AI全自动化渗透、AI一键逆向分析、大模型自动挖洞写EXP,搞彻头彻尾的网安技术投降主义。这种“安奸”行径,表面上是图省事省时间,
阅读全文新手防护历经坎坷的几天
来源( https://bbs.zkaq.cn )一个朋友突然给我说,他下载了一套源码,刚搭建没多久,就被人入侵了(网上VIP随便下载的精品源码),登录网站后,无法显示,我就心想闲着也是闲着,当
阅读全文【真强】勒索软件工具包分析
导语:2026年3,安全研究人员在俄罗斯防弹主机服务商Proton66上发现了一个暴露的开放目录,其中包含完整的TheGentlemen勒索软件入侵工具包。该发现的意义不仅在于其中的工具,更在于这些工
阅读全文北韩"幽灵"开发者入侵DeFi:一人多职潜伏多个项目
导语:2026年4月,DeFi行业连续遭遇重击。先是4月1日 去中心化永续合约协议Drift Protocol遭2.85亿美元黑客攻击(疑似北韩所为),紧接着链上侦探ZachXBT再度抛出重磅炸弹——
阅读全文【视频】藏在收款机里的“特洛伊木马”:CVE-2026-4583 漏洞如何反向接管你的电脑?
导语: 你可能认为,一个简单的蓝牙收款机最多只能导致支付欺诈。但最新的安全研究揭示了一个惊人的事实:通过一个名为 M6Plus 的移动支付终端,攻击者可以利用一个低级但致命的协议漏洞,直接“反向入侵”
阅读全文垃圾字符填充getshell
来源:( https://bbs.zkaq.cn )信息搜集找到一个某大学的系统,直接小红书搜索: 某大学 xx 系统的密码是多少呀账号为学号,登录成功。任意文件上传登录成功之后来到文件上传点t
阅读全文