深入探究PDF篡改
引言在当今的数字世界中,PDF无处不在。我们信赖它来处理重要文档、合同和记录。但如果那份看似官方的PDF并非表面那般真实呢?实际情况是,PDF文件是可以被篡改的,而且伪造的PDF文件比你想象的更为常见
阅读全文EDUSRC、CNVD挖洞技巧分享 | 文章虽长 但是确实是干货!
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立
阅读全文工信部最新发布网络安全相关行政执法事项清单
近日,工业和信息化部发布《工业和信息化部行政执法事项清单(2025年版)》(以下简称 “2025年清单”),对2022年清单进行了修订更新。在网络安全领域,聚焦网络安全、数据安全、个人信息保护、漏洞管
阅读全文漏洞预警 | Cursor远程代码执行漏洞
0x00 漏洞编号CVE-2025-541350x01 危险等级高危0x02 漏洞概述Cursor是一款以AI助手为核心的现代开发环境,集成了本地运行的AI代理,辅助开发者编写、优化、调试代码。0x0
阅读全文漏洞预警 | 申瓯通信SOC1000-UC PBX远程代码执行漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述申瓯通信SOC1000-UC PBX设备是一款基于软交换技术的IP PBX设备,融合音视频通信与移动办公功能,可为中小企业及大型企业分支机
阅读全文漏洞预警 | 金和OA SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电
阅读全文工具 | Fofa_Google_Plugin
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介FOFA端口查询助手是一款基于FOFA API的Chrome浏览器插
阅读全文渗透测试 | 管理系统中XSS常见漏洞点(一)消息通知
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文谷歌Chromium输入验证零日漏洞正遭攻击者利用
美国网络安全与基础设施安全局(CISA)发布紧急预警,威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞(CVE-2025-6558)。该漏洞影响所有基于Chromium内核的浏览器,包
阅读全文大华智能物联管理平台evo-runs/v1.0/push和evo-runs/v1.0/receive接口存在远程命令执行漏洞
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文SecWiki周刊(第597期)
本期关键字:大模型、漏洞分析、自动化工作流、数据生成、prompt分类、思维链大模型、Apache Flink、实时AI、CodeQL、静态分析。2025/08/04-2025/08/10安全技术[漏
阅读全文兵贵神速:利用 RPC-Racer 劫持 Windows RPC 核心服务
翻译自 You Snooze You Lose: RPC-Racer Winning RPC Endpoints Against Services免责声明:本博客文章仅用于教育和研究目的。提供的所有技
阅读全文大华智能物联管理平台1day分析
大华智能物联管理平台指纹hunterbody="*客户端会小于800*"漏洞前台命令执行\任意文件写入- /evo-runs/v1.0/receive漏洞分析漏洞点在com.dahua.evo.ru
阅读全文【高危漏洞预警】WinRAR目录穿越漏洞CVE-2025-8088
漏洞描述:攻击者可构造恶意压缩包造成目录穿越,将恶意文件释放至系统任意位置(如启动文件夹),最终实现任意代码执行。python poc.py -p "C:\Windows\System32\calc.
阅读全文2025年CCF-绿盟科技“鲲鹏”科研基金项目申报指南
CCF-绿盟科技“鲲鹏”科研基金项目由CCF和绿盟科技于2017年共同发起成立,主要面向国内高校、科研机构的全职教师和研究人员,旨在以小微课题的方式支持科研人员的研究与创新,推动科研技术成果转化的同时
阅读全文我的WireShark分析实战手册(二)
请先看《我的WireShark分析实战手册》。将近期的一些技巧汇总如下:🔎 1. 识别扫描与探测活动**SYN 扫描:过滤`tcp.flags.syn == 1 and tcp.flags.ack =
阅读全文src | 奇怪的任意用户重置密码组合拳漏洞
分享一下之前挖src遇到比较奇怪的任意用户重置密码。该漏洞在是两个不同学校的网站相互配合导致的组合拳漏洞。一、收集到的信息:1、学校a:https://aaaaaaaa.cn/user2、学校b:ht
阅读全文src专项挖掘知识库
建立了一个src专项圈子,内容包含src漏洞知识库、src挖掘技巧、src视频教程等,一起学习赚赏金技巧,以及专属微信群一起挖洞圈子专注于更新src相关:1、维护更新src专项漏洞知识库,包含原理、挖
阅读全文【成功复现】Fortinet FortiWeb SQL注入漏洞(CVE-2025-25257)
网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍 Fortinet FortiWeb是美国飞塔(
阅读全文【已复现】WinRAR 目录穿越漏洞(CVE-2025-8088)
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”漏洞概述漏洞名称WinRAR 目录穿越漏洞漏洞编号CVE-2025-8088公开时间2025-08-0
阅读全文【已复现】用友 NC importCombo XML外部实体注入漏洞
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”漏洞概述漏洞名称用友 NC importCombo XML外部实体注入漏洞漏洞编号LDYVUL-202
阅读全文GPT-5安全机制不堪一击,研究人员通过回声室与叙事攻击成功破解
研究人员通过精心设计的回声室(echo chamber)和叙事攻击手段成功突破了OpenAI最新GPT-5模型的安全防护,暴露出这一尖端AI系统的关键漏洞。这一突破性发现表明,对抗性提示工程能够绕过最
阅读全文WinRAR零日路径穿越漏洞正被用于恶意软件投递
Part01漏洞技术分析ESET安全研究人员发现WinRAR Windows版本存在一个零日路径穿越漏洞(CVE-2025-8088,CVSS v3.1评分8.4),攻击者可利用该漏洞在受害者系统上执
阅读全文揭秘GreedyBear:恶意Firefox扩展与虚假网站窃取数百万加密货币
Koi Security研究团队近日揭露代号为GreedyBear的威胁组织,该组织通过浏览器扩展、恶意可执行文件和欺诈网站的组合攻击,实施工业级规模的加密货币盗窃。Koi Security指出:15
阅读全文DEF CON安全大会披露新型零点击漏洞,Windows终端变僵尸网络
在DEF CON 33安全大会上,SafeBreach实验室的研究人员Yair和Shahak Morag披露了一类新型拒绝服务(DoS)攻击,命名为"Win-DoS Epidemic"。研究团队公布了
阅读全文再获国际认可!阿里云发现深度学习框架PyTorch高危漏洞,入选全球顶会Black Hat
近日,阿里云安全团队在AI框架供应链安全领域取得重大突破,发现全球知名深度学习框架PyTorch中存在一项高危安全漏洞(CVE-2025-32434)。该漏洞颠覆了业界长期依赖的模型加载安全机制,即使
阅读全文ATT&CK实战框架-Lab12重磅发布!挑战深度仿真内网,玩转NTLM、信息收集、横向移动与域渗透全链条!
告别“玩具靶场”,拥抱真实企业级攻防环境!从Web入口到域控核心,一场酣畅淋漓的“黑客”之旅等你开启!还在为找不到逼真的内网渗透靶场而烦恼?还在苦于理论无法在贴近实战的环境中检验?ATT&CK实战框架
阅读全文APP登录请求之协议分析
抓包首先开个抓包抓一下链接,使用手机号+验证码方式登录,点击登录发现手机号居然直接明文作为请求链接后缀,code就是验证码,然后数据也全部都在请求头里面。多请求几次,nonce、did、sign这些参
阅读全文组队冲奖!2025 KCTF 参赛指南出炉,8月15日12:00开赛
8月15日 中午12:00开赛从 “废材少年觉醒” 的签到题到 “涅槃,亦是新生” 的终极挑战十道关卡等待战队逐一攻破无论你是初窥门径的新手还是身经百战的高手快来组队,与志同道合的伙伴们赢Mac m
阅读全文