每周蓝军技术推送(2025.5.10-5.16)
内网渗透EvilentCoerce:利用MS-EVEN协议进行NTLM中继攻击的工具https://github.com/Thunter-HackTeam/EvilentCoerce终端对抗ZIP S
阅读全文每周蓝军技术推送(2025.4.26-5.9)
Web安全sqlmap-ai:AI辅助SQL注入测试工具https://github.com/atiilla/sqlmap-ai通过批量恢复公开Git历史文件获取泄露凭据https://medium.
阅读全文云上LLM数据泄露风险研究系列(三):开源大模型应用的攻击面分析
一. 概述本系列前两篇文章深入探讨了向量数据库和LLMOps在全球的暴露面及攻击面,本文作为第三篇,将重点关注当前主流大模型应用的安全风险。如今,大模型上云趋势明显,大多数大模型应用都可通过Docke
阅读全文每周蓝军技术推送(2025.4.19-4.25)
Web安全浏览器WebSocket劫持技术分析https://blog.includesecurity.com/2025/04/cross-site-websocket-hijacking-explo
阅读全文每周蓝军技术推送(2025.4.12-4.18)
Web安全探索SQL Server加密及其破解方法的案例分析https://posts.specterops.io/the-sql-server-crypto-detour-5ff9ac7033de内
阅读全文撕开安全假象:一场无限逼近真实的勒索演练
01 99%的勒索演练沦正在为"安全安慰剂"你的安全设备日志每天记录着数十次勒索攻击告警,渗透测试报告显示"无高危漏洞",年度攻防演练全员通过考核——这些数字是否让你产生了错误的安全确信? 现实是:
阅读全文每周蓝军技术推送(2025.3.29-4.11)
Web安全FrogPost:用于测试postMessage安全性的Chrome扩展工具https://github.com/thisis0xczar/FrogPostCVE-2025-1974:Ing
阅读全文每周蓝军技术推送(2025.3.22-3.28)
Web安全CVE-2025-29927:Next.js中间件认证绕过漏洞分析https://zhero-web-sec.github.io/research-and-things/nextjs-and
阅读全文每周蓝军技术推送(2025.3.15-3.21)
Web安全SAML SSO认证绕过漏洞分析https://github.blog/security/sign-in-as-anyone-bypassing-saml-sso-authenticatio
阅读全文AI风险分析 | Manus泄露事件引发智能体安全思考
背景近期,通用AI Agent产品Manus因其强大的功能备受关注。然而,在上线不久后,用户仅通过简单的提示词注入攻击,便成功获取了Manus的提示词、运行代码及底层模型信息。这一事件暴露了其安全防护
阅读全文每周蓝军技术推送(2025.3.8-3.14)
Web安全SQLite3库不安全反射与反序列化漏洞导致远程代码执行https://www.elttam.com/blog/rails-sqlite-gadget-rce/内网渗透在Kerberoast
阅读全文每周蓝军技术推送(2025.3.1-3.7)
Web安全WebSocketChecker:检测WebSocket消息敏感信息的Burp插件https://github.com/0xAwali/WebSocketCheckerpphack:客户端原
阅读全文报告发布 | BLACKBASTA勒索组织内部泄密事件分析报告
事件背景2025年2月11日,勒索软件领域发生了一场轰动性事件——臭名昭著的BlackBasta组织内部聊天记录遭到泄露,近20万条俄语消息通过MEGA平台和Telegram频道被公之于众。Black
阅读全文每周蓝军技术推送(2025.2.22-2.28)
Web安全CVE-2025-24016:Wazuh反序列化远程代码执行漏洞分析https://github.com/0xjessie21/CVE-2025-24016Passkey-Raider:Bu
阅读全文每周蓝军技术推送(2025.2.14-2.21)
Web安全wpprobe:快速枚举WordPress插件https://github.com/Chocapikk/wpprobe内网渗透ChgPass:通过MS-SAMR协议修改AD账户密码及Wind
阅读全文