央视曝光电诈新招,“手机口”充当诈骗分子“隐形传话筒”;|AI代理互识身份后切换加密通话:暗语背后的AI自治边界
央视曝光电诈新招,“手机口”充当诈骗分子“隐形传话筒”;IT之家 2 月 26 日消息,据央视新闻报道,近期流行的一种名叫“手机口”的电诈骗局:用两部手机,免提都打开,双方就可以直接对话,但是又能成
阅读全文2025红队报告:AI被夸大,并未颠覆网络安全威胁格局
虽然AI应用热潮产生了大量新的攻击媒介和数据安全威胁,但AI并未颠覆网络安全威胁格局,2025年的现实威胁仍以传统TTPs为主。据网络安全公司Picus Labs发布的《2025年红队报告》(Red
阅读全文【挖洞之旅】一种验证码爆破漏洞的全新思路 | 简单实用
1►前言以往,遇到验证码,测试爆破都是重发几次,如果有次数限制大家就不会继续挖了,其实还有个方法可以尝试,我已经通过这个方法得到不少赏金,希望思路对大家有用。验证码认证分为两个步骤:请求验证码校验验证
阅读全文若依Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等
工具介绍若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测、SQL 注入检测、定时任务漏洞检测和任意密码修改漏洞检测等
阅读全文“手机NFC碰一下钱就没了”?真相是……|致命RAT钓鱼攻击瞄准使用中国云服务的亚太行业
“手机NFC碰一下钱就没了”?真相是……移动支付、刷公交卡、电子门禁,日常生活中智能手机的近场通信技术,也就是大家常说的NFC功能,为我们带来很多便利。近期,网络上出现了一些声称“通过近距离接触的支
阅读全文2025年第一季度五大活跃恶意软件攻击趋势
2025年第一季度,网络安全战场硝烟四起。网络犯罪分子继续发起新的攻击并优化其攻击手段。以下是五大值得关注恶意软件家族及其在控制环境中的分析概述。NetSupport RAT:利用ClickFix技术
阅读全文解锁高级网络与信息安全工程师证书
今天给大家分享2025年热门证书高级网络与信息安全工程师证书和高级信息系统运维管理工程师证一、高级网络与信息安全工程师证书1、高级网络信息安全工程师是什么?高级网络信息安全工程师是网络安全领域的专业人
阅读全文CVE-2024-45507漏洞利用实战:代码分析与自动化检测工具
该项目是一个开源的电子商务平台,提供创建基于最新的J2EE/XML规范和技术标准。各模块之间的功能比较松散,用户可以根据自己的需求进行拆卸整合,非常灵活。该漏洞属于Apache OFBiz中的服务器端
阅读全文朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;|CS2 社区现“直播劫持”诈骗:骗取观众加密货币及 Steam 贵重资产;
朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;Bybit首席执行官Ben Zhou称,黑客控制了公司一个未联网的“冷钱包”,将资金转移至未知地址;区块链情报平台Arkham援引ZachXBT提
阅读全文AI时代的头号安全威胁:机器身份
GoUpSec点评:AI正在引发一场网络安全攻防技术的军备竞赛,但一个更大的风险——机器身份,却往往被人们忽视。2025年以DeepSeek为代表的生成式AI技术迅猛发展,为企业带来了前所未有的创新机
阅读全文2025年十大最佳勒索软件防护工具
勒索软件是一种加密受害者文件并要求支付赎金以换取解密密钥的恶意软件。赎金通常以加密货币支付,金额从几百美元到几千美元不等。勒索软件攻击可能给企业和个人造成重大经济损失和业务中断。为防范勒索软件,用户应
阅读全文马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容;|手机NFC功能竟成了骗子的提款机 ?
马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容;埃隆·马斯克旗下的政府部门效率部(DOGE)推出的一个网站被发现存在严重的安全漏洞,导致未经授权的用户可以直接修改其内容。这一漏洞由两名网络开
阅读全文史上最大加密货币盗窃案:Lazarus 从 Bybit 窃取 50 亿美元
加密货币交易所 Bybit 近日遭遇了一次复杂精密的网络攻击,威胁行为者从其离线钱包中窃取了价值高达 50 亿美元的加密货币。这是迄今为止规模最大的加密货币盗窃案,超过了此前 Ronin Networ
阅读全文DTale代码审计-从身份认证绕过到RCE
D-Tale 是 Flask 后端和 React 前端的组合,为您提供了一种查看和分析 Pandas 数据结构的简便方法,允许用户方便地浏览和分析数据,而无需编写复杂的代码。Dtale 可以在 Jup
阅读全文一个信息收集工具,集合目录扫描(跳过200的伪404),ip端口扫描协议识别
工具介绍在做测试的时候,dirsearch总是不如我所愿,每次装的时候总是需要考虑环境问题,并且status-code为200的404页面总是太多,于是写了一个go版的。并且添加了404判断(stat
阅读全文手机突然失控进行不了任何操作并且阻止了所有来电
手机突然失控进行不了任何操作并且阻止了所有来电最近诈骗分子的手段又升级了可以远程操控你的手机不久前的一天下午浙江海盐澉浦派出所接到预警指令有群众正在与诈骗电话通话时间已长达半小时反诈队员马晓杰立即与当
阅读全文“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则
GoUpSec点评:“村村点火”的生成式AI正引发一场企业网络安全革命。AI工具引入了全新的攻击媒介和数据安全威胁,传统的静态防御体系已形同虚设,网络安全行业面临一场技术/工具、方法和技能的全面更新。
阅读全文从deepseek未授权探索clickhouse命令执行
文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,
阅读全文敏感信息及路径扫描工具-FindSomething本地移植版
工具介绍本项目基于残笑大佬的FindSomething插件进行的本地移植版,可对指定的目录下的所有html、js文件或单个html、js文件进行扫描并获取敏感信息,也可对指定的站点列表进行批量扫描。必
阅读全文电竞圈惊现“盗号骗局”!不法分子冒用知名选手,借国际赛事设局诈骗玩家
近日,全球网络安全公司Bitdefender Labs向《反恐精英 2》(CS2)玩家社区发出警示,称有诈骗分子以即将举办的IEM卡托维兹2025和PGL克卢日-纳波卡2025等国际大型电竞赛事为幌子
阅读全文黑客如何利用提示词工程操纵AI代理?
“代理式”人工智能(Agentic AI)时代已经到来,其变革潜力不容忽视。AI 代理具备独立运行的能力,能够依据预先设定的编程自主地做出决策并展开行动。根据 Gartner 的预测,到 2028 年
阅读全文高效检测 SQL 注入漏洞,自动化实战经验分享
在渗透测试项目中,经常会收集大量的接口信息,为了提高效率,通常会使用工具来完成自动化测试,针对大量接口的漏洞探测,xray 这方面做的非常不错,但对于 POST 请求,探测方式只能采用被动请求或逐个接
阅读全文30个必知必会的JS渗透测试技巧
JavaScript作为现代Web应用的核心语言,既是开发利器,也是攻击者的重点突破方向。本文从渗透测试工程师视角,系统性梳理30个关键JS安全攻防点,涵盖漏洞挖掘、防御绕过、信息泄露等实战场景。全文
阅读全文雅虎数据泄露事件:黑客涉嫌兜售60.2万个电子邮件账户;|“稳赚不赔泰达币,一夜暴富不是梦”?
雅虎数据泄露事件:黑客涉嫌兜售60.2万个电子邮件账户;近期,一名化名为“exelo”的黑客涉嫌在地下论坛上兜售一个包含60.28万个雅虎电子邮件账户的数据库。该帖子声称,这些数据是“私密且非俄罗斯来
阅读全文OpenAI百万美元豪测:顶级大模型取代不了程序员
GoUpSec点评:最新权威测试显示,当今顶级大模型甚至无法取代初级软件工程师,科技企业大裁员,AI不背这个锅当Sam Altman宣称大模型将取代"低阶程序员"时,OpenAI自家的最新研究却给出了
阅读全文结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践
前言至于为什么要写这篇文章呢?说来也很巧,在比赛时,有一个靶机直接把我们零封了,全场没有一个人能getshell。该靶机采用的是一个开源框架,而且网上并没有任何公开可用的漏洞信息,且由于比赛是在局域网
阅读全文sqlmap_gui是一款图形界面化的 SQL 注入漏洞测试工具
工具简介SQLMap 是一款自动化的 SQL 注入漏洞测试工具,它能帮助安全研究人员、渗透测试员和网络安全专家识别、利用和修复SQL注入漏洞。为了更方便用户操作和理解其工作流程,我们推出了 SQLMa
阅读全文国家网信办依法集中查处82款侵害个人信息权益的违法违规App;|揭秘黑客真实战术:AI炒作之外的安全挑战
国家网信办依法集中查处82款侵害个人信息权益的违法违规App;2025年2月19日,近期,针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依
阅读全文应对高级勒索软件攻击,你需要关注这7项技术手段
勒索软件正在成为一种精心策划的攻击,并利用AI驱动的精准能力来绕过传统防御。勒索软件攻击者以比以往任何时候都更强的适应能力,将网络安全演变成一场高风险的竞赛。在这场不断白热化的勒索软件攻防对抗中,网络
阅读全文