FortiClient EMS 重大零日漏洞已被在野利用

Fortinet在安全研究人员披露其 FortiClient EMS 存在重大零日漏洞后紧急发布了热修复程序，该漏洞目前已遭到威胁行为者的主动利用。 该漏洞编号为 CVE-2026-35616，C

微软披露攻击者正通过利用HTTP cookie来触发执行、传递指令并激活恶意功能

微软Defender安全研究团队发现，攻击者正越来越多地利用HTTP cookie作为Linux服务器上PHP WebShell的控制通道，以实现远程代码执行。微软表示："这些WebShell不再通过

天才程序员上线：AI 逆向与安全开发全栈实战

“天才程序员”上线：AI 逆向与安全开发全栈实战—— 告别体力劳动，实现安全工程生产力的质变提升逆向工程正在进入一个新的阶段。过去，逆向工程师的核心竞争力更多来自于工具熟练度、经验积累和长时间的手工

车辆的信息安全开发，是什么？

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01车辆的信息安全，是什么？俄罗斯最大的打车平台Yandex Taxi遭黑客入侵，把所有出租车同时叫到莫斯科Kutuzov Prospect上同一目的地，

CAN总线错误处理与故障界定

点击上方蓝字谈思实验室获取更多汽车网络安全资讯在嵌入式开发中，常常听到一句话“汽车上都用CAN总线，那这个总线的稳定性应该是有所保障的”，而这种稳定性的保障，正是因为CAN总线直面了现场总线的复杂环境

今日（2026年4月6日）热点网络安全漏洞动态

2026年4月6日网络安全漏洞动态发布日期: 2026-04-06 | 威胁等级: 🔴 高危 1. 概要今天（2026年4月6日）网络安全领域的主要新高热度漏洞总结如下。这些漏洞多为企业级产品的高危问

JS逆向沙箱化补环境框架｜一站式「采集→注入→监控→AI补全」工作台

🎯 一句话卖点“把目标页面拖进来，框架自动帮你补齐所有 undefined——20 秒生成可直接跑在沙箱里的『假浏览器』。”🏗️ 工作流程（Mermaid 拖拽图）⚡ 5 分钟上手（Docker 一行

基于SAST+AI代码审计 架构与功能详解

Java-Audit 架构与功能详解之前的代码审计项目由同事接手了，然后他改了很多东西。那理论上，我这水逼项目和产品也不搭边了，所以直接开了！相对于之前优化的点joern扫描结果的过

【1 day 在野】福建科立讯通信指挥调度管理平台存在数据库全备份文件未授权下载 附Payload

免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号船山信安及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

美国空军进攻性网络作战单位——第98网络作战中队

美国空军预备役部队近日正式组建了其首个专注于进攻性网络作战的单位——第98网络作战中队。这一举措标志着美军在网络空间领域进一步强化主动进攻能力的战略布局。该中队的前身是2024年成立的一个试点分遣队，

用 GPT-5.4 单挑 NCTF 团队赛，成功解出91.7%的题目

自从买了token套餐之后，每天不把token用完就有点焦虑。于是，放假这2天，就打算用GPT-5.4来打CTF比赛。网上找了下，刚好南京邮电大学在举办NCTF 2026比赛，刚好拿来作实验，看一个人

弱口令漏洞挖掘的30个实战技巧！

在网络安全领域，弱口令始终是攻击者突破企业防线的"第一道门"。据统计，超过80%的安全入侵事件与凭证泄露或弱口令直接相关。尽管多因素认证（MFA）逐渐普及，但在内网环境、遗留系统、测试环境中，弱口令

155个OpenClaw漏洞列表！速看！

2026年3月10日-2026年4月2日，国家信息安全漏洞库（CNNVD）共采集OpenClaw漏洞155个，其中超危漏洞11个、高危漏洞53个、中危漏洞80个、低危漏洞11个。参考链接：https:

网安原创文章推荐【2026/4/5】

2026-04-05 微信公众号精选安全技术文章总览洞见网安 2026-04-05 0x1 TRAE+x64dbg+MCP辅助逆向环境配置SPEEDCoding 2026-04-05 22:56:

4小时完成“国家级”攻击，Claude AI攻破全球最安全操作系统内核FreeBSD

一、事件概述：4小时完成的“国家级攻击”2026年4月初，网络安全领域发生了一次前所未有的震动。被誉为“全球最安全”的操作系统内核之一——FreeBSD，被人工智能模型Claude在仅4小时内完全攻破

36 个恶意 NPM 软件包利用 Redis 和 PostgreSQL 部署持久化植入程序

网络安全研究人员在npm存储库中发现了36个恶意软件包，它们伪装成Strapi CMS插件，但实际上携带不同有效载荷，用于实现Redis和PostgreSQL漏洞利用、部署反向shell、窃取凭据以及

swagger管理未授权访问

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的一次授权渗透测试了，目标是一个api接口应用，属于前后端架构分离的应用，要了一波前端服务，但

恒脑荣获CSA磐石奖，范渊荣膺CSA GCR Fellow并分享“AI+安全，跨代开启”前瞻观点

4月2日，第九届CSA大中华区大会暨前沿人工智能安全峰会在上海举行。安恒信息恒脑安全智能体荣获CSA磐石奖。安恒信息董事长范渊荣获CSA GCR Fellow，并受邀发表题为《AI向善 龙虾归笼；AI

外包

1v1论文指导！985/211专业对口导师手把手指导至录用！SCI/SSCI/EI/中文核心/毕业论文

先写大论文，还是先发小论文？这是很多研究生和博士生在进入学校之后最先遇到、也最容易纠结的选择题。大论文定下限，小论文定上限。有下限没上限，找工作难；有上限没下限，毕不了业。那么大论文和小论文，怎么选才

从微信小程序打点到后台文件上传getshell

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具

2026年开源鸿蒙技术课题

截至26年3月，在产学研各界专家学者的深度参与下，社区成功完成了关键难题的识别与分解。经过社区各技术领域专家与TSC评审，2026年首批开源鸿蒙技术课题现正式发布至社区。本次发布课题共计12道。详见下

过人脸验证：Jinkusu Cam 与 eKYC 防线的“信任坍塌”

免责声明（专业版）【安全研究声明】 本文由 [您的网站名] 深度安全研究团队发布，内容涉及对黑产组织 Jinkusu（金克斯）最新攻击工具的技术拆解。发布此文旨在提升金融机构及合规技术（RegTech

一张速查表带你看透：为什么你的 GitHub 仓库正在“裸奔”？

在网络安全领域，有一个被称为 “GitHub Dorks”（ GitHub 傻瓜式搜索/语法挖掘）的技巧。正如 @hackinarticles 所分享的这份速查表所示， GitHub 并不只是代码仓库

从沙箱逃逸到系统主宰：解析 2026 年首个重大 Windows 内核提权漏洞-华盟网

在 Windows 中，所有对afd.sys的操作都通过打开\Device\Afd设备句柄完成。深度细节：攻击者并不直接调用 socket()，而是通过 NtCreateFile 直接获取 AFD 设

赓续忠诚血脉 致敬无名英雄——各级国家安全机关开展缅怀隐蔽战线英烈系列活动

清明时节，春山肃穆。在清明节到来之际，国家安全部党委专门召开隐蔽战线英烈亲属代表座谈会，传达党中央、习近平总书记对隐蔽战线的深情厚爱，表达对英烈的缅怀崇敬和对英烈亲属的关爱慰问，听取对国家安全机关的意

当广告流量分发与效果跟踪系统被用于网络攻击后

Keitaro 是一款自托管的广告流量分发与效果跟踪系统，原生具备的精细化流量路由、受众定向、内容伪装能力，被威胁攻击者改造为网络犯罪的核心基础设施。研究周期内，研究团队监测到约 13500 个与 K

一文读懂电子印章与电子签章：数字时代的"盖章"革命

一文读懂电子印章与电子签章：数字时代的"盖章"革命摘要：在数字化转型的浪潮中，电子印章和电子签章正在取代传统的"红章"。但你知道它们是如何工作的吗？电子印章和电子签章是一回事吗？如何验证一份电子文件

未授权访问的“上帝视角” || 从功能性路由看权限菜单绕过技巧（全网首发）

很久没发技术文了，今天继续给大家讲一下未授权的场景渗透技巧，以下手法基本可覆盖95%以上的测试场景，希望对师傅们挖洞有所帮助注：下文均为个人自总结内容，其中的很多命名，思路之类的名词，都是讲课教学方便

第160篇：AI联动IDA Pro MCP 实战逆向分析加密混淆 APK的通信数据包解密

Part1 前言 大家好，我是ABC_123。最近听说 IDA Pro MCP 非常强大，一开始我其实是半信半疑的。于是索性亲自上手试了一下，我的认知又被刷新了，现在AI发展得真是太强了。我特意挑选