实战攻防 | 某学校授权渗透测试评估
文章作者:奇安信攻防社区(hey)参考来源:https://forum.butian.net/share/2673从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决
阅读全文【高危漏洞预警】LemonLDAP:NG命令执行漏洞(CVE-2025-59518)
漏洞描述:在LеmоnLDAP:NG 2.16.7之前以及2.17至2.21 2.21.3之前版本中Sаfе јаil中可能发生操作系统命令注入在规则评估过程中未对_进行本地化,因此能够编辑由Sаfе
阅读全文朝鲜黑客组织Kimsuky利用ChatGPT伪造军人证件实施新型攻击
网络安全公司Genians Security Center(GSC)发出警告,朝鲜臭名昭著的黑客组织Kimsuky正在使用ChatGPT等人工智能(AI)工具生成的伪造军人证件开展新型钓鱼攻击。这标志
阅读全文盘点:安全主管职业中最常见的10个“坑”
从未能将安全战略与业务优先级对齐,到应对数据泄露时手忙脚乱,CISO 和安全领导者可能会因为一系列原本可以避免的错误,影响自己的职业发展。在高管群体中,违法和不道德行为当然是最明显的“红线”,几乎会让
阅读全文GPT-5 Codex与Claude Code,谁才是机械码皇?
近日OpenAI发布GPT-5Codex,向AI辅助编程工具的王者Claude Code发起挑战。氛围编程的王座要易主了吗?Codex是一款高度智能化的AI编程代理,可自动执行与编程相关的任务。你(即
阅读全文【高危漏洞预警】Gotac Statistical Database System身份认证绕过漏洞CVE-2025-10452
漏洞描述:由Gоtас开发的统计数据库系统存在Miѕѕinɡ Authеntiсаtiоn漏洞,允许未认证的远程攻击者以高级权限读取、修改和删除数据库内容影响产品及版本:Gotac统计数据库系统,受影
阅读全文CIA最大内鬼落网:将国家机密明码标价,一份情报2万美元!|顶级网络安全风险投资机构遭勒索软件攻击
当国家最机密的数据库,沦为付费查询的“商业知识库”,会发生什么?想象一下,如果你能把美国中央情报局(CIA)的内部系统当作自己的私人搜索引擎,随手一搜就能拿到国家最高机密,你会用它来做什么?对于68岁
阅读全文每日5万封钓鱼邮件:亚马逊云服务漏洞助长大规模网络钓鱼活动
Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务(Amazon Simple Email Service,简称SES)漏洞的大规模钓鱼攻击活动细节。攻击者通过窃取的AWS密钥实施攻击,
阅读全文日益加剧的压力:CISO被要求对安全事件保持沉默
一项最新调查显示,69%的 CISO 曾被雇主要求对安全事件保持沉默,而这一比例在两年前还是 42%。这意味着,信息安全负责人(CISO)正承受着越来越大的压力:企业往往将声誉保护置于合规义务之上。0
阅读全文【高危AI漏洞预警】MCP Inspector跨站脚本漏洞CVE-2025-58444
漏洞描述:MCP Inѕресtоr是一款开发者工具,用于测试和调试MCP服务器,该工具在0.16.6之前的版本中存在跨站脚本问题,当连接到具有恶意重定向URI的不受信任的远程MCP服务器时,攻击者可
阅读全文当AI智能体学会了“自主思考”,你的防火墙还好吗?
AI智能体,是超级助理还是“定时炸弹”?当它不再是一个听话的程序,而变成一个有自主决策能力的“操作员”时,整个网络安全的游戏规则都被改写了,攻击面正以前所未有的方式爆炸式增长,而过去那些固若金汤的防御
阅读全文网络犯罪组织WhiteCobra植入24款恶意扩展程序 瞄准VSCode、Cursor及Windsurf用户
威胁组织WhiteCobra通过在Visual Studio应用商店和Open VSX注册表中植入24款恶意扩展程序,针对VSCode、Cursor和Windsurf代码编辑器用户发起攻击。目前该攻击
阅读全文数据泄露一次,公司会损失多少钱?
数据泄露的成本并不容易界定,但随着越来越多的组织成为攻击和信息泄露的受害者,其财务影响正变得愈发清晰。对于现代企业而言,无论其行业或规模如何,数据泄露造成的财务影响都是巨大的。IBM最新的《数据泄露成
阅读全文URL信息收集工具 | 支持批量测试 URL 的状态码、响应包大小、页面标题等信息,并可将结果导出为 Excel 文件
工具简介本工具是一款基于 PyQt5 开发的 URL 信息收集工具,支持批量测试 URL 的状态码、响应包大小、页面标题等信息,并可将结果导出为 Excel 文件,适用于网站管理员、测试人员快速核查
阅读全文最新Android 病毒:不仅传播木马,还传播短信窃取器与间谍软件
网络安全研究人员警告称,Android 恶意软件的格局正在发生转变:过去主要被用于投递银行木马的 投放器(Dropper)应用,如今也开始用于分发更“轻量级”的恶意程序,如短信窃取器(SMS Stea
阅读全文SOC的“中年危机”
近期,Chaleit的创始人兼首席执行官Dan Haagman对SOC(安全运营中心)效能展开了深度思考,这促使他提出一个可能会引发不适的观点:尽管企业投入数百万资金构建SOC,还部署了尖端检测技术,
阅读全文Salesloft: GitHub账户遭入侵 导致Drift令牌被盗并引发大规模Salesforce数据窃取
Salesloft近日表示,攻击者最早于3月入侵了其GitHub账户,进而窃取了Drift平台的OAuth令牌——这些令牌随后在8月被用于大规模Salesforce数据窃取攻击。Salesloft是一
阅读全文终端实时流量监控工具 Netop
流量分析是网络安全和Linux运维领域必不可少的手段之一。利用netop 这款工具可以自定义过滤网络流量规则。本文让我们一起来学习吧~netop命令安装部署执行下面命令,利用Docker一键部署。do
阅读全文民警劝阻12次无果,女教师被骗400万元!比诈骗更可怕的,是觉得自己不会被骗
“你们别管我!他是真的爱我,这钱是投资不是被骗!”“我怎么可能被骗!我可是老师啊!”民警不厌其烦地12次电话、上门劝阻,还是没能保住袁女士的400万。袁女士是上海一名38岁的单身女老师,她在网上偶然邂
阅读全文iPhone17史上最重要安全升级:MIE技术抵御各类内存破坏漏洞
苹果安全工程与架构团队(SEAR)近日发布了内存完整性强制保护技术(Memory Integrity Enforcement,MIE),这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上
阅读全文攻防渗透集锦JS泄露突破多个后台
记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分离网站下渗透突破思路呢。文章作者:奇安信攻防社区(一天要喝八杯水)参考来源:ht
阅读全文一款免费开源轻量的漏洞情报系统 | 漏洞情报包含:组件漏洞 + 软件漏洞 + 系统漏洞
工具介绍bug_search一款免费开源轻量的漏洞情报系统基于python3 + Amis2.9 开发,仅依赖Flask,requests,无需数据库,Amis是百度开源的低代码前端框架漏洞情报包含:
阅读全文特别关注 | 《国家网络安全事件报告管理办法》正式发布,迟报、漏报、瞒报安全事件将被重罚
近日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称《办法》),自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时
阅读全文ChatGPT新增MCP工具支持存在安全隐患,攻击者可窃取邮件隐私数据|Google Drive漏洞可致云端文件遭全盘访问
ChatGPT新增MCP工具支持存在安全隐患,攻击者可窃取邮件隐私数据Part01功能集成带来的安全隐患ChatGPT最新推出的Model Context Protocol(MCP,模型上下文协议)工
阅读全文0day | 某在线拍卖系统代码审计
文章作者:先知社区(w*u)参考来源:https://xz.aliyun.com/news/187131►环境搭建先创建一个mysql数据库名为:springbootp0eo6然后用source命令导
阅读全文【高危AI漏洞预警】Claude Code代理编程工具远程代码执行漏洞CVE-2025-59041
漏洞描述:Clаudе Cоdе是一款代理编程工具,用于代码的编写和管理。在1.0.105版本之前,Clаudе Cоdе在启动时会执行一个使用'ɡit соnfiɡ uѕеr.еmаil'模板化的命
阅读全文美国成为最大的间谍软件投资国|超1.6亿条记录!黑客组织声称窃取越南全国公民信用数据
提到商业间谍软件,人们首先想到的往往是以色列的Nexa、NSO Group等臭名昭著的“军火商”。然而,大西洋理事会近日发布一份重磅报告,揭露了一个惊人的事实:美国已超越以色列,成为全球商业间谍软件产
阅读全文苹果用户速更新!macOS存严重漏洞,用户隐私数据面临泄露风险
Part01漏洞概况近日,macOS系统发现一个CVSS评分高达 9.8 的高危漏洞,该漏洞可能允许应用程序绕过系统保护机制,非法访问受保护的用户数据。该漏洞编号为 CVE-2025-24204,目前
阅读全文【高危AI漏洞预警】Langflow容器权限提升漏洞CVE-2025-57760
漏洞描述:Lаnɡflоԝ是一款用于构建和部署AI驱动的代理和工作流的工具,它允许用户通过RCE访问权限调用内部CLI命令lаnɡflоԝ ѕuреruѕеr来创建新的管理员用户,即使用户最初通过UI
阅读全文