AI自动化代码审计RCE
原文链接:https://xz.aliyun.com/news/17327前言 AI最近的趋势持续偏高,用AI来写代码,挖漏洞甚至于审计代码的文章或者工具都非常多,最近刚好在学习AI安全,并且php相
阅读全文SeeMore!一个漏洞挖掘小工具
工具介绍1、在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的,然后提交漏洞后他进行了修复。2、但是程序员只是将导入功能的元素添加"
阅读全文国家计算机病毒应急处理中心监测发现13款违规移动应用
2025年4月17日,国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现13款移动应用存在
阅读全文5700万用户安装的Chrome扩展暗藏追踪代码
安全研究人员发现57款Chrome浏览器扩展存在高风险行为,这些扩展总安装量达600万次,具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。隐蔽的分发方式这些扩展具有"隐身"特
阅读全文黑盒渗透测试中的常见的20种Payload生成技法
在攻防博弈的暗涌之下,Payload如同黑客手中的手术刀,其精密程度直接决定渗透测试的成败。面对现代WAF层层构筑的语义分析、正则过滤、行为建模等防御体系,传统攻击载荷的存活率已不足15%(据SANS
阅读全文CTF PWN新手的终极利器!一键搞定栈溢出与格式化字符串漏洞!
工具介绍本工具是一个自动化PWN利用框架,专为CTF比赛和二进制漏洞利用设计,集成了栈溢出、格式化字符串等多种漏洞利用技术,支持32位和64位程序的自动化分析利用。(About ctf一键栈溢出、格式
阅读全文Windows 11高危漏洞:300毫秒即可提权至管理员;|快递公司负责人导出公民个人信息129000多条 非法获利获刑
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!Windows 11高危漏洞:300毫秒即可提权至管理员Windows 11 存在一个严重漏洞,攻击者可在短短
阅读全文2025年3月涉国内数据泄露事件汇总
数世咨询联合零零信安正式发布《数据泄露态势》2025年3月月度报告。该报告依托0.zone安全开源情报系统,覆盖明网、深网、暗网及匿名社群等约10万个威胁源,全面监测全球范围内的数据泄露情况。报告指出
阅读全文记一次魔改若依的渗透测试
开局登陆框,可账号密码登录,手机号验证码登录。 短信轰炸测试系统白名单,所以就不着急登录后台,首先关注验证码这块,输入手机号,看看是否会发送验证码,测试 发现能收到验证码,ok,
阅读全文Milkyway!一款全方位扫描工具
工具介绍一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能。纯go实现的协议识别丰富的扫描模式支持端口扫描的乱序 (目标越大,速度越快,准确度越高)release默认
阅读全文美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;|有部分群众反映收到了领取“五险一金补贴”的通知;
美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。这个
阅读全文特朗普关税对中美网络安全领域有哪些影响?
对美国挑战大于机遇,对中国机遇大于挑战。特朗普总统宣布关税的消息使美国网络安全股票急剧下跌,引发人们对网络安全支出削减和网络“单一文化”可能崛起的担忧。美国新关税的引入极大地震撼了美国网络安全领域,使
阅读全文实战|内网中vcenter集群攻击全程实录,学会你也行!
原文首发在:奇安信攻防社区https://forum.butian.net/share/4091内网中vcenter集群攻击过程详细记录,学会你也行!前言最近在做项目的时候,测到了一个部署在内网的存在
阅读全文基于AI自动绕过WAF的burp插件
工具介绍Chypass_pro是一个基于AI自动绕过WAF、完成XSS漏洞测试的Burp Suite扩展,调用AI自动化生成绕过WAF的XSS payload。本项目提供了以下两种打包格式。Java
阅读全文超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国;|警惕!黑客出租可完全控制 macOS 系统的恶意软件
超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国;Fortinet发布警告称,攻击者利用部分已知漏洞获取了目标设备的只读权限,即使受害者更新系统修复漏洞,该权限依然保留,使得攻击者
阅读全文公安机关悬赏通缉3名美国特工
记者15日从黑龙江省哈尔滨市公安局获悉,为依法严厉打击境外势力对我网络攻击窃密犯罪,切实维护国家网络空间安全和人民生命财产安全,哈尔滨市公安局决定对3名隶属于美国国家安全局(NSA)的犯罪嫌疑人凯瑟琳
阅读全文某公司的渗透技能考核靶场通关记录
文章作者:先知社区(消失的猪猪)文章来源:https://xz.aliyun.com/news/176801►背景介绍某天,突然基友群发了个东西,一问说是网上别人发的,不知道哪个公司的一个技能考核的靶
阅读全文一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能
工具介绍一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能,纯go实现的协议识别丰富的扫描模式支持端口扫描的乱序 (目标越大,速度越快,准确度越高)release默认
阅读全文发了1个月传单获利1万元被判刑了;|“租机贷”变“高利贷”?!《财经调查》曝光→
发了1个月传单获利1万元被判刑了近日,南京有居民报警称,看到家门口粘贴的“做兼职手工挂件,月入六千到一万”广告,扫描二维码后,被客服以刷单为由,先给小利取得信任,再诱使大额充值,致4人共被骗31万。警
阅读全文AI幻觉代码依赖成为新型软件供应链威胁
随着生成式AI编程工具的普及,以及AI模型容易"幻觉"出不存在软件包的特性,一种名为"垃圾包抢注"(slopsquatting)的新型供应链攻击正在浮现。安全研究员Seth Larson创造了这个术语
阅读全文从信息泄露到内网控制
0x01 背景之前常见用rce、文件上传等漏洞获取webshell,偶然遇到一次敏感信息泄露获取权限的渗透,简单记录一下过程。0x02 信息泄露发现系统某端口部署了minio服务,经过探测发现存在mi
阅读全文文件上传自动化Bypass插件
工具介绍Upload_Auto_Fuzz是@T3nk0师傅专为文件上传漏洞检测而写的一个Burp Suite插件,提供自动化Fuzz测试,共500+条payload,效果如图。支持功能WAF绕过技术后
阅读全文网络安全博士带头“开盒挂人”获刑!3000多人信息被曝光;|iOS设备遭受钓鱼攻击的频率是Android设备的两倍
网络安全博士带头“开盒挂人”获刑!3000多人信息被曝光;你听过“开盒挂人”吗?↓↓↓它是一种新式网络暴力违法犯罪行为。不法分子通过非法手段搜集他人的个人照片、家庭住址、手机号码等敏感信息,然后将这些
阅读全文重点防范境外恶意网址和恶意IP
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联
阅读全文一次就学会网络钓鱼“骚”姿势
作者: obse****转载于先知社区:https://xz.aliyun.com/news/12128一、什么是网络钓鱼网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感
阅读全文Shiro反序列化漏洞综合利用工具,在原版上增加了一些功能 | Shiro_attack-4.7.1-SNAPSHOT
1►工具介绍Shiro反序列化漏洞综合利用,在原版工具上进行一些功能增加。 在原工具基础上增加功能原仓库 https://github.com/SummerSec/ShiroAttack22►
阅读全文出卖国家秘密 海归博士被判无期徒刑!|在校大学生滥用AI被抓
出卖国家秘密 海归博士被判无期徒刑!近期,国家安全机关破获一起重大间谍案件。经查,犯罪嫌疑人郝某受境外间谍情报机关指挥,长期潜伏在我核心要害部门窃取情报,最终因间谍罪被判处无期徒刑。留学攻读博士期间
阅读全文90%的企业和政府数据都是垃圾?
垃圾数据有两层含义,一层指这些数据已经被遗忘或失去使用价值,另一层则指这些数据会像生活中的垃圾一样造成环境污染。“反环保主义”近年来在中美科技精英阶层非常流行,瑞典女孩成了最常被取笑的对象。事实上,无
阅读全文浅谈AI部署场景下的web漏洞
文章首发在:奇安信攻防社区https://forum.butian.net/share/4259总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路要想知道对应的大模型在本地部署过程中可能
阅读全文针对Navicat的后渗透利用框架
工具介绍内网渗透实战场景下,任何可以被利用的基础设施都要关注到,才能在多维度对内网进行“降维打击”,获取 Navicat Premium 保存的数据库账密也是关键的一步Navicat Premium是
阅读全文