朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;|CS2 社区现“直播劫持”诈骗:骗取观众加密货币及 Steam 贵重资产;
朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;Bybit首席执行官Ben Zhou称,黑客控制了公司一个未联网的“冷钱包”,将资金转移至未知地址;区块链情报平台Arkham援引ZachXBT提
阅读全文AI时代的头号安全威胁:机器身份
GoUpSec点评:AI正在引发一场网络安全攻防技术的军备竞赛,但一个更大的风险——机器身份,却往往被人们忽视。2025年以DeepSeek为代表的生成式AI技术迅猛发展,为企业带来了前所未有的创新机
阅读全文2025年十大最佳勒索软件防护工具
勒索软件是一种加密受害者文件并要求支付赎金以换取解密密钥的恶意软件。赎金通常以加密货币支付,金额从几百美元到几千美元不等。勒索软件攻击可能给企业和个人造成重大经济损失和业务中断。为防范勒索软件,用户应
阅读全文马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容;|手机NFC功能竟成了骗子的提款机 ?
马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容;埃隆·马斯克旗下的政府部门效率部(DOGE)推出的一个网站被发现存在严重的安全漏洞,导致未经授权的用户可以直接修改其内容。这一漏洞由两名网络开
阅读全文史上最大加密货币盗窃案:Lazarus 从 Bybit 窃取 50 亿美元
加密货币交易所 Bybit 近日遭遇了一次复杂精密的网络攻击,威胁行为者从其离线钱包中窃取了价值高达 50 亿美元的加密货币。这是迄今为止规模最大的加密货币盗窃案,超过了此前 Ronin Networ
阅读全文DTale代码审计-从身份认证绕过到RCE
D-Tale 是 Flask 后端和 React 前端的组合,为您提供了一种查看和分析 Pandas 数据结构的简便方法,允许用户方便地浏览和分析数据,而无需编写复杂的代码。Dtale 可以在 Jup
阅读全文一个信息收集工具,集合目录扫描(跳过200的伪404),ip端口扫描协议识别
工具介绍在做测试的时候,dirsearch总是不如我所愿,每次装的时候总是需要考虑环境问题,并且status-code为200的404页面总是太多,于是写了一个go版的。并且添加了404判断(stat
阅读全文手机突然失控进行不了任何操作并且阻止了所有来电
手机突然失控进行不了任何操作并且阻止了所有来电最近诈骗分子的手段又升级了可以远程操控你的手机不久前的一天下午浙江海盐澉浦派出所接到预警指令有群众正在与诈骗电话通话时间已长达半小时反诈队员马晓杰立即与当
阅读全文“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则
GoUpSec点评:“村村点火”的生成式AI正引发一场企业网络安全革命。AI工具引入了全新的攻击媒介和数据安全威胁,传统的静态防御体系已形同虚设,网络安全行业面临一场技术/工具、方法和技能的全面更新。
阅读全文从deepseek未授权探索clickhouse命令执行
文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,
阅读全文敏感信息及路径扫描工具-FindSomething本地移植版
工具介绍本项目基于残笑大佬的FindSomething插件进行的本地移植版,可对指定的目录下的所有html、js文件或单个html、js文件进行扫描并获取敏感信息,也可对指定的站点列表进行批量扫描。必
阅读全文电竞圈惊现“盗号骗局”!不法分子冒用知名选手,借国际赛事设局诈骗玩家
近日,全球网络安全公司Bitdefender Labs向《反恐精英 2》(CS2)玩家社区发出警示,称有诈骗分子以即将举办的IEM卡托维兹2025和PGL克卢日-纳波卡2025等国际大型电竞赛事为幌子
阅读全文黑客如何利用提示词工程操纵AI代理?
“代理式”人工智能(Agentic AI)时代已经到来,其变革潜力不容忽视。AI 代理具备独立运行的能力,能够依据预先设定的编程自主地做出决策并展开行动。根据 Gartner 的预测,到 2028 年
阅读全文高效检测 SQL 注入漏洞,自动化实战经验分享
在渗透测试项目中,经常会收集大量的接口信息,为了提高效率,通常会使用工具来完成自动化测试,针对大量接口的漏洞探测,xray 这方面做的非常不错,但对于 POST 请求,探测方式只能采用被动请求或逐个接
阅读全文30个必知必会的JS渗透测试技巧
JavaScript作为现代Web应用的核心语言,既是开发利器,也是攻击者的重点突破方向。本文从渗透测试工程师视角,系统性梳理30个关键JS安全攻防点,涵盖漏洞挖掘、防御绕过、信息泄露等实战场景。全文
阅读全文雅虎数据泄露事件:黑客涉嫌兜售60.2万个电子邮件账户;|“稳赚不赔泰达币,一夜暴富不是梦”?
雅虎数据泄露事件:黑客涉嫌兜售60.2万个电子邮件账户;近期,一名化名为“exelo”的黑客涉嫌在地下论坛上兜售一个包含60.28万个雅虎电子邮件账户的数据库。该帖子声称,这些数据是“私密且非俄罗斯来
阅读全文OpenAI百万美元豪测:顶级大模型取代不了程序员
GoUpSec点评:最新权威测试显示,当今顶级大模型甚至无法取代初级软件工程师,科技企业大裁员,AI不背这个锅当Sam Altman宣称大模型将取代"低阶程序员"时,OpenAI自家的最新研究却给出了
阅读全文结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践
前言至于为什么要写这篇文章呢?说来也很巧,在比赛时,有一个靶机直接把我们零封了,全场没有一个人能getshell。该靶机采用的是一个开源框架,而且网上并没有任何公开可用的漏洞信息,且由于比赛是在局域网
阅读全文sqlmap_gui是一款图形界面化的 SQL 注入漏洞测试工具
工具简介SQLMap 是一款自动化的 SQL 注入漏洞测试工具,它能帮助安全研究人员、渗透测试员和网络安全专家识别、利用和修复SQL注入漏洞。为了更方便用户操作和理解其工作流程,我们推出了 SQLMa
阅读全文国家网信办依法集中查处82款侵害个人信息权益的违法违规App;|揭秘黑客真实战术:AI炒作之外的安全挑战
国家网信办依法集中查处82款侵害个人信息权益的违法违规App;2025年2月19日,近期,针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依
阅读全文应对高级勒索软件攻击,你需要关注这7项技术手段
勒索软件正在成为一种精心策划的攻击,并利用AI驱动的精准能力来绕过传统防御。勒索软件攻击者以比以往任何时候都更强的适应能力,将网络安全演变成一场高风险的竞赛。在这场不断白热化的勒索软件攻防对抗中,网络
阅读全文使用分支对抗进行webshell bypass
文章首发在:先知社区https://xz.aliyun.com/t/17029前言对于webshell免杀来说,类绕过是最有效果且不易被检测出来的,那如果我们对类进行操作,在类里面加入一些算法和混淆代
阅读全文哥斯拉二开,基于公开的免杀哥斯拉更改的流量特征。请求包改成json请求!
工具介绍哥斯拉二开,基于公开的免杀哥斯拉更改的流量特征。请求包改成json请求!工具展示主要做了请求方式、标识、cookie自带;的更改,在其他的流量特征也做了简单的更改。PS:启动的时候一定会提示你
阅读全文小红书:有黑灰产团伙用 AIGC 大模型批量生成同质化素材,严重扰乱社区生态;|短视频平台“封号圈”乱象猖獗,IP查询助力防范;
小红书:有黑灰产团伙用 AIGC 大模型批量生成同质化素材,严重扰乱社区生态;IT之家 2 月 19 日消息,小红书“薯管家”昨日发布“小红书黑灰产账号治理阶段进展公告(六)”并透露,截至今年 2 月
阅读全文韩国下架DeepSeek的安全反思
据韩联社2月17日报道,韩国个人信息保护委员会(PIPC)于本周一宣布,即日起暂停中国人工智能初创企业深度求索(DeepSeek)旗下聊天机器人应用在韩国应用商店的新用户下载服务,以审查其是否符合韩国
阅读全文巧用异或绕过限制导致RCE
文章作者:奇安信攻防社区(中铁13层打工人)文章来源:https://forum.butian.net/share/41301►系统介绍Moodle(moodle.org)是一个开源的在线教育系统(慕
阅读全文『CTF』密码学-一道LFSR
0x00 前言山东数据安全技能兴鲁比赛中一道零解题,初赛的时候时间太短,就做了第一个题,第二个题没时间看,后面研究了一下发现没有想象中呢么难,之前对于NFSR的题目没太多接触,趁这个题目记录学习一下。
阅读全文仿冒DeepSeek的手机木马病毒被捕获!|央视揭露AI合成名人音视频乱象:几十元就能定制
仿冒DeepSeek的手机木马病毒被捕获!近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机
阅读全文效率碾压安全的代价:马斯克政府效率部网站被黑
马斯克政府效率部门的网站近日成了黑客的游乐场——只需几行代码,任何人都可以修改政府网站数据。马斯克领导的政府效率部(DOGE)正在美国政坛掀起一场“整改风暴”,但其官方网站doge.gov(以及近期上
阅读全文