【网络安全】CORS跨域资源读取漏洞
CORS跨域资源读取漏洞漏洞名称CORS跨域资源读取漏洞漏洞地址https://www.mem.com/漏洞等级中危漏洞描述Web应用程序中跨域资源共享(CORS)策略配置过于宽松,可能导致攻击者构造
阅读全文友加畅捷管理系统GetZTList接口存在信息泄露漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文逆天AI黑客--Strix
最近圈子里很流行AI渗透工具,我无意间发现了这个github项目,AI黑客--Strix,star数量高达12.2k这款工具可替代人工进行自主渗透测试。在传统的人工渗透,和普通工具渗透,这款全自动AI
阅读全文Nano Banana 用在网络安全面试上,offer拿到手软【国内免费】
如果你还没有用上Banana生成面试考点,生成培训ppt那你这不就丢网安的脸了。下面就是我用Nano Banana生成面试点,关键国内免费使用。看效果:免费使用连接已经放到我们的星球了,快去试试看吧。
阅读全文【高危漏洞预警】Gogs远程命令注入漏洞CVE-2025-8110
漏洞描述:Gоɡѕ是一个用Gо语言编写的自助托管的Git服务它提供了一个PutCоntеntѕ API接口用于处理文件的上传和存储,该漏洞源于之前的修复对符号链接的过滤不当导致攻击者可通过创建指向.ɡ
阅读全文海莲花APT组织样本免杀技术分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。APT是全球企业
阅读全文基于TRAE Solo模式的安全开发之旅
作为一名安全运营人员,我经常需要处理各种安全开发需求。最近,我因为要处理通过墨菲安全平台每天扫描SBOM风险的镜像漏洞报告,200+个项目,扫描出的直接依赖和间接依赖的组件风险,高达500+个,因此萌
阅读全文【安全工具更新】CVE-2025-55182 批量检测工具,已适配哥斯拉内存马注入连接。
重要声明本工具仅面向已授权的渗透测试、红队评估、安全研究及企业内部漏洞验证场景。严禁用于未授权系统、生产环境或任何非法目的。使用者须自行承担全部法律责任。推荐下棉花糖师傅的靶场,各种漏洞复现一直在用,
阅读全文解谜AD域和OT生产的复杂孪生身份
声明:本文尝试以全新的视角理解AD域和OT生产,但这不是经过论证的技术认知。如果说IT环境下的AD域是一种OT生产环境,想必大家会在第一直觉上拍案而起怒喷无知,看似一本正经的胡说八道,但是请听我娓娓道
阅读全文【驱动对抗】进程强杀火绒6
0x01 声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!0x02 效果演示相关文件已同步到圈子0x03 红蓝偶像练习
阅读全文【安全圈】“信息贩子”终落网,“捞金欲梦”终成空
关键词个人信息贩卖12月8日,岚皋县人民法院审理的一起侵犯公民个人信息案判决生效,被告人小山(化名)犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币2万元,永久删除非法获取存储的公民个人信
阅读全文【安全圈】GitLab高危XSS漏洞(CVE-2025-12716)可通过恶意Wiki页面劫持用户会话
关键词漏洞GitLab在本周关键安全更新中为其社区版(CE)和企业版(EE)发布了一系列重要补丁,修复了一个高危漏洞——攻击者可能通过恶意Wiki页面劫持用户会话。此次更新涵盖18.6.2、18.5.
阅读全文【安全圈】Windows Defender 防火墙服务漏洞可致攻击者泄露敏感数据
关键词漏洞漏洞概述Windows Defender 防火墙服务中存在一个严重的信息泄露漏洞(CVE-2025-62468),该漏洞可能允许已授权的攻击者访问受影响系统上的敏感堆内存。微软于2025年1
阅读全文【安全圈】安全公司调查全球最大容器镜像库 Docker Hub,发现 10000+ 镜像泄露敏感密钥
关键词数据泄露网络安全公司 Flare 昨日(12 月 10 日)发布报告,其研究人员在 11 月扫描 Docker Hub 后发现,超过 10000 个容器镜像泄露了敏感数据,包括生产系统凭证、CI
阅读全文FreeBuf培训站,带这两个标签的课,可以放心选!
上新啦细心的师傅们可能已经发现,近期FreeBuf培训站的课程页面,出现了一些新变化。我们为课程新增了「平台赔付保障」与「信誉讲师」两大核心标签。这不是简单的页面美化,而是一套我们深思熟虑后推出的 “
阅读全文公共组件的安全管理经验分享;网络安全法等法规的合规落地探讨 | FB甲方群话题讨论
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第260期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供
阅读全文Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码
微软已发布安全更新,修复一个危险的Windows PowerShell漏洞(CVE-2025-54100),该漏洞允许攻击者在受影响系统上执行恶意代码。该漏洞于2025年12月9日公开披露,对全球企业
阅读全文React2Shell漏洞遭大规模利用:攻击者投放加密货币挖矿程序与新型恶意软件
根据Huntress最新研究,React2Shell漏洞正持续遭到大规模利用,攻击者通过React Server Components(RSC)中的高危安全缺陷投放加密货币挖矿程序及多个此前未记录的恶
阅读全文【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
Gogs (Go Git Service) 是一款基于 Go 语言开发的开源 Git 托管平台,采用 MIT 许可证,提供代码托管、Issue 跟踪、权限管理和 Webhook 等功能。2025年12
阅读全文Thymeleaf SSTI bypass历史
SSTI(模板注入)某依最新版本稳定4.8.1 RCE (Thymeleaf模板注入绕过)可以先看这两篇文章。1. =3.0.11最早也是无限制的payload,不赘述__${new java.uti
阅读全文中央经济工作会议在北京举行 习近平发表重要讲话
中央经济工作会议在北京举行习近平发表重要讲话 李强作总结讲话赵乐际王沪宁蔡奇丁薛祥李希出席会议中央经济工作会议12月10日至11日在北京举行。中共中央总书记、国家主席、中央军委主席习近平出席会议并发表
阅读全文Thymeleaf SSTI bypass历史
SSTI(模板注入)某依最新版本稳定4.8.1 RCE (Thymeleaf模板注入绕过)可以先看这两篇文章。1. =3.0.11最早也是无限制的payload,不赘述__${new java.uti
阅读全文CVE-2015-3456 Qemu逃逸复现
环境搭建QEMU版本:1.5.3编译◆下载 python 2.7apt install python2.7 python2.7-dev◆必要的依赖apt-get install -y \ git
阅读全文Adobe Acrobat现高危漏洞!攻击者可远程执行代码,需紧急更新
12月9日,Adobe发布安全公告APSB25-119,称旗下Acrobat及Reader系列产品存在多个安全漏洞,涉及Windows与macOS双平台,建议用户立即更新。此次漏洞包含两类风险:高危漏
阅读全文深耕Windows攻防10年!实战派大佬亲授:内核Hook与Rootkit开发全攻略
·核心痛点?是不是每次做竞品分析时,对方的Hook总能绕开你的检测?反外挂/防盗号对抗里,Rootkit的隐蔽性总能让你头疼?想自己搭一套HIPS防护系统,却卡在驱动层通信、内核回调Hook这些细节上
阅读全文第十五届VARA 大会|程度:基于攻击路径分析的风险预测技术
12月10日,第十五届网络安全漏洞分析与风险评估大会(VARA 大会)在天津梅江会展中心开幕。天津市副市长王秀峰出席会议并致辞,来自国家27个部委、52家央企和关键信息基础设施运营单位、100余家网络
阅读全文AUTOSAR学习笔记之RTE
点击上方蓝字谈思实验室获取更多汽车网络安全资讯运行时环境RTE是AUTOSAR ECU体系结构的核心组成部分。RTE是AUTOSAR虚拟功能总线(Virtual Function Bus,VFB)的接
阅读全文