盘点 2025 年度重大安全漏洞

2025年全球网络安全漏洞呈现 “总量激增、风险集中、攻击链复杂” 的显著特征，成为网络安全攻防的关键转折年。MITRE官方CVE数据库显示，全年新增CVE 48185条，刷新历史峰值。更关键的是，漏

安全无小事｜阿里云先知众测，为企业筑牢防线

在数字化浪潮席卷全球的今天，企业面临的网络安全威胁日益复杂。数据泄露、勒索病毒、业务系统漏洞……一旦遭遇攻击，轻则破财、重则危及企业生存。如何在黑客之前发现风险？如何以高效、低成本的方式守护业务安全？

安全简讯（2026.01.06）

1. Zestix威胁行为者通过窃取凭证入侵企业云平台1月5日，近期，网络安全公司Hudson Rock披露，名为Zestix的威胁行为者正在地下论坛兜售从数十家公司窃取的企业数据，涉及航空、国防、医

【漏洞通告】jsPDF 本地文件包含与路径遍历漏洞(CVE-2025-68428)

一、漏洞概述漏洞名称jsPDF 本地文件包含与路径遍历漏洞CVE IDCVE-2025-68428漏洞类型路径遍历发现时间2026-1-6漏洞评分9.2漏洞等级严重攻击向量网络所需权限无利用难度低

潜伏在600个电诈群，他想把黑产的钱拦下来

文 | Sleepy.txt在商业史上，凡是财富汹涌聚集之处，必有法律与秩序的拉锯。站在 2025 年的尾巴上回望，全球稳定币的发行规模已站稳 3000 亿美元关口，较去年翻了近三倍，每月的交易量更是

CVE-2026-21440 – AdonisJS 高级检测概念验证

威胁简报恶意软件漏洞攻击描述本项目为CVE-2026-21440提供了一个高级的仅检测概念验证 (PoC)，这是一个影响 AdonisJS 应用程序中@adonisjs/bodyparser 的 严重

情报如何成为现代博弈的隐形杠杆？

威胁简报恶意软件漏洞攻击作为长期关注全球安全议题的观察者，我认为威胁情报早已不再是单纯的情报汇总，而是现代国家战略体系中最关键的一环。它通过系统化识别、评估和预判潜在风险，为最高层提供可落地的判断依据

信息安全漏洞月报（2025年12月）

点击蓝字 关注我们漏洞态势根据国家信息安全漏洞库（CNNVD）统计，2025年12月采集安全漏洞5496个。本月接报漏洞1421个，其中信息技术产品漏洞（通用型漏洞）1226个，网络信息系统漏洞（事件

【论文分享】从噪声到信号：如何在千万级软件包中精准定位漏洞影响?

一、引言：软件供应链安全的“狼来了”困境想象这样一个场景：你是一名开发者，每天打开 CI/CD 系统，迎接你的是数百条安全警报——“检测到依赖包存在高危漏洞，请立即修复！” 但当你花费大量时间逐一排查

记一次外站打点进入学校统一认证内网的渗透测试

前言本篇文章涉及漏洞已经修复，关键信息已打码，文章旨在分享安全测试过程中所使用的思路与分析方法，切勿对任何非授权的系统进行渗透测试！渗透测试首先通过信息收集，找到了该学校的校友系统，发现登陆处存在用户

蓝屏警告：伪造 BSOD 驱动 ClickFix 社会工程攻击

高危漏洞 紧急修复指南 RCE Patch 新型ClickFix社会工程攻击活动正针对欧洲酒店与旅游业展开。攻击者通过伪造的Windows蓝屏死机画面，诱骗受害者手动编译并执行恶意软件。推测e1

Android Apk逆向分析工具(jadx-ai-mcp)

APP逆向分析工具V4.5APK安全加固平台V5.2Unity手游无Root注入工具Android智能调试分析工具V7.5Smali/AAR/JAR/DEX/APK逆向分析转换工具V2.51.项目概述

仿冒微软激活工具域名暗藏恶意脚本致Windows设备感染

攻击者利用仿冒“微软激活脚本（MAS）”的拼写错误域名，分发恶意PowerShell脚本，使Windows系统感染Cosmali Loader恶意软件。安全研究员发现，有多名MAS工具用户在Reddi

嘶吼快讯|网安厂商动态汇（第1期）

聚焦网安厂商最新动作，整合新品发布、战略合作、技术升级等核心动态，省去碎片化信息筛选时间，1 篇GET网安厂商近期关键动作！网安厂商最新动态360荣获海南省科学技术进步一等奖近日，2024年度海南省科

网安原创文章推荐【2026/1/5】

2026-01-05 微信公众号精选安全技术文章总览洞见网安 2026-01-050x1 Burp小插件之SSRF安全无界 2026-01-05 22:54:03本文介绍了一个名为SSRF探测的Bur

用 AI “杀死” 那个 VShell

点击蓝字关注我们声明本文作者：Esonhugh本文字数：9370字阅读时长：15分钟附件/链接：点击查看原文下载本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载由于传播、利用此文所提供的信息而造

山河无恙，护你安宁！这支MV必须刷屏

万重关山筑屏障，无形战场显忠诚。国安干警在隐秘较量中挺身而出，以热血肝胆护国安邦宁。从秦时明月到当代征程，国泰民安始终是中华儿女不变的祈愿。进入新时代，国安战士用忠诚与担当穿越时光，在风雷激荡中为梦想

某御验证码逆向分析

作者论坛账号：中二声明本文章中所有内容仅供学习交流使用，不用于其他任何目的，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！若有侵权，请联系作者删除。前言分析网站是官网接口，网址：aH

【已复现】jsPDF 曝高危漏洞：可窃取服务器密钥及配置文件 (CVE-2025-68428)

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称jsPDF目录穿越导致本地文件包含漏洞漏洞编号CVE-2025-68428公开时间20

Facebook 逆向：x-fb-session-id 请求头

官网：http://securitytech.cc/在最近关于 Facebook 的新闻，以及我在低层方向钻研认证的过程中，我决定更深入研究 Facebook 是如何构造请求头的，这些请求头代表什么，

逆向分析一个真实运行中的 AsyncRAT 恶意样本

官网：http://securitytech.cc/在我上一篇博客文章《使用 URLScan 寻找正在活动的恶意软件》之后，我决定再四处看看，找一些有意思的样本。最近我没怎么做恶意软件分析，于是想着干

一个可以加载react技术栈站点中js模块的工具

正文https://github.com/ElSicarius/chunkloader这个是最新版本的,能够适用于chrome高版本当中往期回顾如何利用ai辅助挖漏洞如何在移动端抓包-下如何绕过签名校

帆软bi反序列漏洞利用工具

帆软bi反序列漏洞利用工具1、新增反序列化利用链2、新增数据库连接解密功能3、修复ssl证书问题支持jackson、hibernate、cb反序列化链来进行利用 工具使用dnslog功能 命令执行回

vCenter图形化漏洞利用工具

vcenter_tools 功能 当前支持以下漏洞的检测：CVE-2021-22005CVE-2021-21972CVE-2021-21985CVE-2022-22954当前支持以下漏洞的命令执行：C

用简单的话语总结2025年的jufeng

2025年开始前夕我在寒冷的街道上“万念俱灰”离开那家公司后我整整在家里反思了自己在职场上管理和各个部门协作上以及历经帮派内斗和小人作祟视觉上没有引起重视问题上大半年我们搞技术出身的也许忽略了其实最大

【高危漏洞预警】Dify API密钥明文暴露漏洞CVE-2025-67732

漏洞描述:Difу是一个开源的大型语言模型应用开发平台,在1.11.0版本之前,API密钥以明文形式暴露在前端导致非管理员用户可以查看并重复使用该密钥。这可能导致对第三方服务的未授权访问,从而消耗有限

每日安全动态推送(26/1/6)

• WhatsApp元数据泄露可实现设备操作系统指纹识别与定向恶意软件投递https://cybersecuritynews.com/whatsapp-device-fingerprinting/本

Ctfer

论文一直投不中？藏不住了！大牛帮选刊投稿后，被拒的5篇SCI全中了！

（如需免费预约《26年国自然申请书改版真实评审独家解读》直播讲座可拉至文末）在经历过十几次退稿之后，我真心建议需要发表sci论文的老师和同学：不要死磕论文内容！去思考，去找捷径，去找套路！只要找对了方

CBLab 2026年攻防业务正式对外服务 | 实战型攻防团队

CBLab自2026年起正式对外承接攻防业务，提供专业渗透测试与定制化安全开发服务。为什么选择 CBLab？实战型团队：成员拥有10余年渗透经验，专治疑难杂症。技术实力：工具自研，技术可控，具