WinRAR "网络标记"绕过漏洞可导致攻击者执行任意代码
WinRAR最新披露的漏洞允许攻击者绕过Windows核心安全机制,在受影响系统上执行任意代码。该漏洞编号为CVE-2025-31334,影响7.11之前的所有WinRAR版本,CVSS评分为6.8分
阅读全文实战中内网穿透的30种打法!
在攻防对抗中,内网穿透是突破网络边界的关键技术。本文从攻击者视角系统梳理30种实战穿透手法,涵盖协议滥用、云原生穿透、IoT设备渗透等新兴攻击面,并给出企业级防御方案。一、协议隧道技术(8种)1. S
阅读全文CScan!网络空间资产搜索工具
工具介绍CScan是一款基于Go语言开发的网络空间资产搜索工具,支持多个主流网络空间搜索引擎,能够快速搜索IP、域名等资产信息。项目背景在信息收集的时候,经常需要处理大量的IP地址、域名和企业名称等资
阅读全文"剪贴板劫持"攻击:黑客利用虚假验证码通过入侵网站窃取数据
网络安全研究人员发现了一种名为"KongTuke"的新型复杂攻击链,该攻击通过入侵合法网站来针对毫无戒备的互联网用户。Palo Alto Networks旗下Unit 42团队的研究员Bradley
阅读全文2025年十大最佳勒索软件文件解密工具
勒索软件文件解密工具是无需支付赎金即可恢复被恶意软件加密数据的关键解决方案。这些工具通过使用解密密钥或算法来解锁加密文件,帮助受害者重新获取数据访问权限。"No More Ransom"(不再勒索)项
阅读全文攻防实战|记一次和安全产品贴身肉搏
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文一个运行在firefox上的jsonp蜜罐被动扫描器
简介嗅嗅是一款运行在firefox上的jsonp蜜罐被动扫描插件:安装好扩展后,可以在浏览器左上角打开它:运行后,嗅嗅可以在后台检测当前网页发起的跨站请求,若具有jsonp接口特征的请求或对一些媒体网
阅读全文手机被黑屏硬控后,疯狂转账;|黑客盯上澳大利亚最大养老基金,盗取巨额资金和超 2 万账户信息
手机被黑屏硬控后,疯狂转账;手机黑屏的这段时间里钱竟然被偷偷地转走了这到底是怎么一回事?前几日家住鄞州中河街道的李女士接到一通00852开头的香港固定电话对方冒充抖音客服告知李女士其抖音免密支付和会员
阅读全文2025年最佳数据匿名化工具盘点
在2025年,数据保护已成为重中之重。随着越来越多的组织处理敏感客户数据,全球各地出台更严格的数据保护法规,企业需要强大的信息保护工具。这正是数据匿名化技术的用武之地——它通过掩盖或替换个人数据,即使
阅读全文漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路并
阅读全文一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。
工具介绍DeepAudit 是一款基于 Python 和 Tkinter 开发的代码审计工具,旨在帮助开发者自动分析项目代码,检测潜在的安全漏洞。该工具通过调用 DeepSeek API,对代码进行深
阅读全文“被结婚”6次、“被当”公司法人!个人信息怎么就泄露了?
在数字时代,个人信息已成为一种重要的“资产”,但近年来,个人信息泄露或者冒用等问题却时常发生在我们身边,甚至出现了“被结婚”“被办公司”“被贷款”等等一些现象,给当事人带来了不少困扰和损失。这些事件背
阅读全文程序员泄密暴增300%:GitHub一年泄漏3900万秘密信息
近日,GitHub宣布对其高级安全平台进行重大更新,起因是2024年检测到超过3900万个泄露秘密,这一数字较2023年GitGuardian报告的1280万个秘密暴增300%,凸显开发安全问题的严重
阅读全文『渗透测试』前端图形验证码绕过
0x00 前言之前使用Burpsuite一直在用算命瞎子写的图形验证码识别工具。后来不小心把Burpsuite删了,也懒得折腾索性改用了国产工具yakit。接下里的内容就是基于算命瞎子写的图形验证码识
阅读全文一个好用的自动化越权扫描工具
工具介绍一个好用的越权扫描工具,越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。下载地址https://github.com/Ed1s0nZ/InfiltrateX文
阅读全文攻击源大部分来自美国!亚冬会赛事系统遭境外攻击超27万次|28.7 亿 Twitter 用户数据疑遭泄露,400GB 信息曝光
攻击源大部分来自美国!亚冬会赛事系统遭境外攻击超27万次!今天(4月3日),国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信
阅读全文留神本地部署“小模型”的大风险
在AI安全这场长跑中,没有所谓的“免费午餐”。随着大语言模型在各行各业展现威力,如何让它们“瘦身”以降低部署成本,成为业界关注焦点。“模型蒸馏”正是在这样的背景下走红:通过让小模型学习大模型的行为,我
阅读全文40个漏洞挖掘实战清单,覆盖90%渗透场景!
Web漏洞的本质是信任体系的失控与验证机制的失效。其核心源于开发者对用户输入、权限边界及系统交互的过度信任,具体表现为三类问题:1. 输入不可控:未对用户输入进行严格过滤(如SQL注入、XSS),导致
阅读全文Java-web 自动化鉴权绕过
工具介绍审Java代码的时候,经常会遇到接口因鉴权问题被组合拳getshell,例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间,花了点时间分析总结了下网上所有与Java鉴权有关的问题,
阅读全文领免费鸡蛋后竟遭到起诉?提醒父母要注意;|苹果警告三处正被活跃利用的零日漏洞
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!领免费鸡蛋后竟遭到起诉?提醒父母要注意!近日,某地75岁老太拿身份证领免费鸡蛋后被诉,引发网友关注。75岁的张彩
阅读全文2025年最佳渗透测试工具Top 30榜单
渗透测试(Penetration Testing,又称道德黑客)是网络安全领域的关键流程,旨在识别和修复系统、网络及应用程序中的安全漏洞。通过模拟真实攻击场景,渗透测试能帮助组织在恶意攻击者利用漏洞前
阅读全文巧用Chrome-CDP远程调用Debug突破JS逆向
文章首发在:奇安信攻防社区https://forum.butian.net/share/4062CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅
阅读全文小程序自动化辅助渗透脚本
工具简介e0e1-wx是一个微信小程序自动化辅助渗透脚本,可用于自动化辅助反编译、自动化注入hook、自动化查看泄露等,平台限制:Windows。还在一个个反编译小程序吗?还在自己一个个注入hook吗
阅读全文开源社区快被⼤模型抓崩溃了;|快递员因同一人连收100个包裹报警了
开源社区快被⼤模型抓崩溃了;在“今天你被大模型DDoS了吗?”一文中,我们曾感慨生成式AI的崛起让 OpenAI、Anthropic、Google等玩家对互联网内容的渴求达到了疯狂的程度。无论是Cha
阅读全文关注 | 针对个人信息保护问题,四部门联合开展专项行动
据中国网信网3月28日消息,《中华人民共和国个人信息保护法》施行以来,中央网信办会同有关部门持续组织开展个人信息保护相关工作,建立健全工作机制,研究制定标准规范,依法依规查处各类违法违规行为,加强正面
阅读全文小程序渗透记录 通过细节挖掘漏洞的艺术
原文首发:奇安信攻防社区https://forum.butian.net/share/4229近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!免
阅读全文Burp Fastjson漏洞探测扫描插件
工具介绍FastjsonScan4Burp是一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测
阅读全文X 平台被曝遭遇严重数据泄露,涉及超 28 亿条个人数据信息;|三面“神镜”破AI谣言!这些套路一眼识破
X 平台被曝遭遇严重数据泄露,涉及超 28 亿条个人数据信息;3 月 31 日消息,据外媒 HACKREAD 报道,数据泄露论坛 Breach Forums“知名”用户 ThinkingOne 当地时
阅读全文10余款冒充正规App,伪造国家项目的仿冒App,请大家注意甄别
近期,信息通信行业反诈中心监测发现了10余款冒充正规App伪造国家项目的仿冒App请大家注意甄别↓↓各类APP正逐渐成为我们日常生活中的“必需品”不法分子为牟取不当利益仿冒一些正版APP推出“李鬼”式
阅读全文某电力公司web.config的RCE之旅
报告来源于某漏洞平台,是已公开的报告,作者:@Kaibro0x01 叙述https://ebppsmtp.taipower.com.tw/uploadfile/UploadFile.aspx 存在任意
阅读全文