Turborepo 中未验证 Preflight 的 Location 头导致 SSRF，从而窃取认证 Token

官网：http://securitytech.cc项目信息项目：Vercel Open Source（HackerOne）严重性：高危（CVSS 4.0 – 7.0）状态：重复漏洞（#3540006）

渗透“瓦尔多利亚共和国”：在一次技术评估中串联 IDOR、加密破解与 JWT 绕过

官网：http://securitytech.cc🧠 引言在攻防安全领域，有一条黄金法则：👉 最薄弱的环节往往不是复杂的 0day，而是业务逻辑和对前端的过度信任。最近我参加了一个网络安全技术评估，目

跨平台底层网络库libdnet源码分析系列(四)

官网：http://securitytech.cc源码分析mettle后门工具学习 所使用的依赖库ARP操作源码深入分析目录ARP协议概述libdnet ARP接口设计Linux平台实现macOS/B

今日（2026年3月20日）OpenClaw 最新安全动态总结

3月20日资讯导视OpenClaw昨日（3月19日）集中披露多个高危/严重CVE（含CVE-2026-32038沙箱网络隔离绕过、CVE-2026-32023审批门控绕过等），补丁版本已升至2026.

Langflow 远程代码执行与任意文件写入漏洞 | CVE-2026-33017/33309已复现

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”Langflow 框架近期被曝出两个高危安全漏洞：未经身份验证的远程代码执行漏洞（CVE-2026-3

挖洞日记 | Webpack实操

扫码领资料获网安教程本文由掌控安全学院 - 腾风起 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn ）1 信息搜集当然哈，首先还是先想办法搞

OpenClaw 安全全景分析：从公开漏洞、利用链到最安全安装基线

文章首发于奇安信攻防社区：https://forum.butian.net/ai_security/75从防守视角出发、基于OpenClaw 官方 Trust / Docs、GitHub Securi

2026 POLARIS CTF 震撼来袭！

假冒谷歌账号进行钓鱼攻击：利用恶意PWA应用窃取验证码、加密货币钱包

一场网络钓鱼活动正通过伪造谷歌账号安全页面，分发一款网页应用，该应用可窃取一次性验证码、采集加密货币钱包地址，并通过受害者浏览器转发攻击者流量。此次攻击利用渐进式Web应用（PWA）特性与社会工程学手

嘶吼安全动态｜马自达系统遭入侵，员工信息或泄露 Perseus安卓银行木马出现升级版

嘶吼安全动态【国内新闻】马自达系统遭入侵，员工信息或泄露摘要：马自达披露其供应链管理系统遭未经授权访问，部分员工及合作方个人信息可能泄露，公司已启动调查并加强防护。原文链接：http://financ

全网都在 “养龙虾”！分钟级云上玩转 OpenClaw！

自2025年11月在GitHub上线以来，OpenClaw凭着“数字员工”的定位一路走红，4个月星标就达到322k stars，成为近期AI圈最火的开源项目。不同于传统 AI 助手 “只说不做” 的

一群人担心新手机涨价，说得好像旧手机不涨似的

Venus 215万坏账背后：一个地址，牵出DeFi借贷的三大防线失效

2026 年 3 月 15 日，BNB Chain 上的头部借贷协议 Venus Protocol 遭遇了一场精心策划的攻击。攻击者绕过了 Venus Protocol Core Pool（BNB C

傅盛怒撕周鸿祎：sb欠1亿不还还删好友

今天凌晨，猎豹移动傅盛直接在行业大群里硬刚360周鸿祎，脏话都飙出来了，聊天截图一夜刷爆，这对老冤家的恩怨又双叒叕升级了！傅盛今天凌晨1点在群里直接@周鸿祎，火气拉满：“你欠我钱，非不还，还删我，你个

网络空间测绘视角解读伊朗3月18日断网事件（第三期）

一、事件报道伊朗大部分地区与国际互联网全面断联据央视新闻报道，当地时间3月18日下午开始，包括首都德黑兰在内的伊朗大部分地区进入与国际互联网的全面断联状态，驻伊朗的外交机构与伊朗境外的通信也几乎全部中

春分|数潮春至 网御守安

春分至 昼夜均数潮春至 网御守安HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多

火绒小问答--「个人版」近期top问题解答

尊敬的用户，您好！针对近期反馈较多的火绒被企业应用控制阻止运行 / 安装、NVIDIA 显卡无法升级且退出火绒后恢复正常两类问题，我们为您整理了对应的专属排查及解决方法，具体操作如下。01你的组织使用

【火绒安全周报】部分院校禁用OpenClaw/黑客组织袭击全球医疗设备巨头史赛克

部分院校禁用OpenClaw近日消息，开源 AI 智能体OpenClaw（小龙虾）快速走红，却引发多所院校发布使用禁令。山西应用科技学院、甘肃钢铁职业技术学院相继明确，严禁在校内网络及各类终端设备上安

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

今晚公开课 | 区块链安全（第三讲）

夯！第四届阿里CTF榜单发布

经过激烈的角逐与对抗第四届阿里CTF安全挑战赛已圆满结束！感谢每一位参赛选手的热情参与与精彩表现！本次比赛不仅考验了选手们的逆向分析、密码学、Web 安全、Pwn 等多方面技能更展现了极客精神与团队协

从零到一：手把手教你反混淆Android代码

终极指南:Android逆向反混淆的完整解决方案在没有mapping.txt和任何日志的情况下，我们无法“一键还原”出原本的代码，只能采取语义恢复的策略。核心思路是：先将二进制文件（dex/apk）转

身份验证绕过

正文登录系统 → 进入 Tasks（任务）。复制 Private Link（私有链接）。链接格式如下： https://efss.qloud.my/remote.php/dav/calendars/h

网安原创文章推荐【2026/3/19】

2026-03-19 微信公众号精选安全技术文章总览洞见网安 2026-03-19 0x1 内网网络审计工具箱（大牛蛙版）网安武器库 2026-03-19 23:38:08 本文介绍了内网网络审

污染蜂巢心智：通过被遗忘的 Windows 内部机制实现持久化

原文链接作者https://www.praetorian.com/blog/corrupting-the-hive-mind-persistence-through-forgotten-windows

Active Directory 安全评估：密码喷洒、权限提升与 Kerberoasting

原文链接作者https://core-jmp.org/2026/03/active-directory-security-assessment-password-spraying-privilege-

XSS之Flash弹窗钓鱼

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具

每周高级威胁情报解读(2026.03.13~03.19)

2026.03.13~03.19攻击团伙情报海莲花组织针对我国重点目标钓鱼攻击活动分析Boggy Serpens 持续瞄准关键基础设施Operation GhostMail 活动利用Zimbra We

RSAC 2026创新沙盒 | Crash Override：从被动扫描走向主动溯源，重塑软件供应链安全底座

// RSA Conference 2026 将于美国旧金山时间3月23日正式启幕。作为全球网络安全行业创新风向标，一直以来，大会的 Innovation Sandbox（创新沙盒）大赛不断为网

【公益译文】2026年国际AI安全报告（一）

执行摘要本报告评估通用AI的能力、潜在风险以及风险管控方式。AI能力极速提高，但其风险相关依据较少且难以评估。本报告旨在帮助政策制定者应对AI技术相关依据不足的问题。AI能力提升迅速，但不稳定。自20