Spring-Gateway RCE 漏洞，CVE-2022-22947&CVE-2025-41243 环境部署及源码分析

说明：【闪石星曜Java代码审计零基础到高阶实战班】学员 oLy 投稿。可点击下方二维码关注。如果你想零基础系统化掌握Java代码审计，并且通过大量实战进阶提升，一对一指导式学习，可点击下方链接了解我

2026年·第一季 170节【闪石星曜@Java代码审计零基础到高阶实战班】，一对一学习指导，持续迭代更新式课程......

往期基础部分录播+直播回放2026第一季实战直播课程，讲完这些还会继续迭代！点击大图，可查看详细介绍从目录上可以看到，2026年，新增了不少实战课程。本套课程专为希望系统掌握Java代码审计的学习者设

Cuttlefish安卓模拟器最新DEB包下载获取脚本

cuttlefish现在更新支持在线安装了。不用费劳什子劲自己编译了。为了方便直接取deb下载地址，我弄了给脚本，直接执行取最新版本的DEB安装包下载链接。注意执行需要科学上网。#!/usr/bin/

CurseForge 中 WebSocket 导致远程代码执行的情况

威胁简报恶意软件漏洞攻击介绍几个月前发现SuperShy 远程代码执行漏洞后，我开始深入研究 WebSocket。出于好奇，我开始四处搜寻系统上其他会定期暴露绑定到回环接口的本地 WebSocket

MongoDB 未经身份验证的攻击者敏感内存泄漏

威胁简报恶意软件漏洞攻击攻击者可能利用 Zlib 窃取数据 太长不看MongoDB 严重内存泄漏情况：一个重大漏洞允许未经身份验证的攻击者远程泄露 MongoDB 服务器内存中的敏感数据。无需登录。

OpenRASP SQL注入绕过

公众号：XG小刚最近遇到了一个OpenRASP拦截的SQL注入，黑盒绕半天没什么效果。本想着研究一下它的拦截原理，刚好看到了腾讯xcheck团队几年前的一篇绕过文章《OpenRASP SQL注入绕过》

第144篇：Docker+CTFd 动态靶场环境后台配置及题库部署的踩坑全记录(下篇)

Part1 前言 大家好，我是ABC_123。接下来继续写完CTFd动态靶场环境搭建的剩余部分。虽然这套CTFd动态靶场坑很多，但是解决这些坑点过程，还是有不少收获。 Part2 技术研究过程 CT

2025年录课总结

官网：http://securitytech.cc/2025全年总共录了5套rust课，1套恶意软件课，几乎全年都在录rust，明年2026年重点录恶意软件与app爬虫逆向。haidragon所有课程

Trust Wallet 插件钱包用户700万美金被盗事件解析

"He who controls the spice controls the universe"(控制香料者,控制宇宙)这是攻击者在恶意服务器上留下的一句话。这句出自科幻小说《沙丘》的名言,在 20

APP逆向分析工具V4.5

APP自动化测试工具V4.3Unity手游无Root注入工具APK高级加密工具 - 专业版 v4.0Android开发智能调试分析软件V7.2Smali/AAR/JAR/DEX/APK逆向分析转换工具

Eurostar AI 聊天机器人漏洞：当客服机器人“脱轨”

核心要点在 Eurostar 的公开 AI 聊天机器人中发现了 4 个问题：防护栏绕过、未校验的对话与消息 ID、可泄露系统提示词的提示注入，以及会导致自我 XSS 的 HTML 注入。用户界面看起来

巨头年鉴：阿里修路、腾讯种树、华为造桥，而字节乘风

年末之际，哪家科技公司风头最劲？字节跳动无疑占得一席。从豆包输入法到AI手机，一系列新品持续引爆话题；紧接着，其职级与薪酬体系的调整，再次搅动了市场的关注。一、百度退场，阿里有钱，腾讯有根，华为有基座

【招聘安全】-纽约初创交易所（50-180K,可远程办公，美国、新加坡）

号主内推，欢迎投递。纽约初创交易所招聘，远程办公，可选base地：美国、新加坡、马来西亚、阿布扎比1) Security Management Lead中文岗位名：安全管理负责人（权限与安全治理方向）

CVE-2025-14847 - MongoDB Unauthenticated Memory Leak

漏洞简介MongoDB 是一种流行的开源 NoSQL 数据库，用于以灵活的、基于文档的格式存储和管理数据。它将数据存储为类似 JSON 的文档（称为 BSON），而不是像传统 SQL 数

【第五空间简史】第15节 凯文·米特尼克被捕（1995）

1995年2月15日凌晨，北卡罗来纳州罗利市一间不起眼的公寓内，FBI特工破门而入，逮捕了凯文·米特尼克（英语：Kevin David Mitnick，1963年8月6日—2023年7月16日）。他当

【狂撒福利】OSRC 年终盛典抽奖通道提前开启！

各位 OSRC 的白帽师傅们，年终重磅福利来袭！OSRC 年度盛典专属抽奖通道今日正式开放，所有 2025 年在平台提交过有效漏洞的白帽，均可参与！超高价值奖品池已就位，12 月 27 日 10:00

网安原创文章推荐【2025/12/26】

2025-12-26 微信公众号精选安全技术文章总览洞见网安 2025-12-26 0x1 Microsoft Windows SDK 权限提升挖掘过程？秋风的安全之路 2025-12-26 23

【已复现】Windows PowerShell 命令注入漏洞(CVE-2025-54100)

● 点击↑蓝字关注我们，获取更多安全风险通告漏洞概述漏洞名称Windows PowerShell 命令注入漏洞漏洞编号QVD-2025-47564,CVE-2025-54100公开时间2025-12-

某链商被黑致超13亿元资产被盗，监管机构责令安全整改并赔偿受害用户

Nomad在新版本中引入了重大漏洞，导致超13亿元的加密货币资产被盗，用户损失惨重；Nomad最初被宣传为一款“安全优先”的产品，但背后公司却在网络安全的多个方面存在不足，FTC要求其执行全面改进。美

AI勒索新剧本曝光：2500万美元蒸发，我们离“数字绑架”还有多远？

一场源自“上级领导”的视频会议，2500万美元转瞬蒸发。这并非好莱坞式的虚构惊悚桥段，而是2024年真实上演于跨国工程咨询巨头Arup的网络安全事件。攻击者借助深度伪造技术，精准复刻公司首席财务官的音

所有关基用户请注意！CISA新版AI安全指南出台，再不分离OT网络就晚了！

近日,多家机构共同发布了关于在工业控制系统（OT）中安全使用人工智能（AI）的最新安全指南。之所以需要推出这样的文件，是因为 AI 和 OT 这两大领域本身就属于极高敏感度的攻击面 —— AI 面临不

攻击者利用PuTTY工具实现横向渗透与数据窃取双重目的

网络安全研究人员发现，攻击者正日益滥用流行的PuTTY SSH客户端工具，在已攻陷的网络中实施隐蔽的横向移动和数据窃取活动，仅留下可供调查人员追踪的细微取证痕迹。Part01取证突破口：Windows

【情报实战】谷歌的数据还靠谱吗？

今天看到一篇文章《在震惊美国的两起谋杀案发生前，以色列人进行的奇怪谷歌搜索》文章的背景是:2025 年 11 月 26 日下午 2 点 15 分左右，两名在白宫附近法拉格特西地铁站一带执勤的西弗吉尼亚

某企业src实战

1►案例还是开局一个登录框。这里简单的抓一个包看看有什么可用的信息。直接是明文传输可以尝试了一下sql注入有waf打不了还得沉淀。直接换个思路写个脚本把验证码提取出来再进行枚举他的用户看能不能搞个账号

应急响应之Ueditor 任意文件上传漏洞攻击

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈

经济低迷

sci论文润色机构怎么选？在这家老牌机构润色后秒发一区！

实验数据再漂亮，创新点再足也没用，sci审稿人读不通我们的语言，一样被拒稿……这是我一位师弟的亲身经历，他本身英语水平挺好的，所以直接写的英文稿件，在投稿前想着用AI来润个色就行了，结果因语言问题被拒

黑名单过滤下为何还能无限制SQL注入！

文章作者：Yu9文章来源：https://forum.butian.net/share/29050x01 前言这周看到了某公众号发的springboot+vue实现的一个后台管理系统。阅读量还挺高的，

估值将超630亿元！这家数据安全独角兽是如何炼成的？

关注我们带你读懂网络安全Cyera在DSPM赛道几乎复刻了Wiz在CSPM的经历，且在其他DSPM公司纷纷被巨头收购的当下其独立性更加稀缺，以及数据安全受益于AI支出剧增的外溢效应，使得它成为当下最炙

某集团子域安全缺陷引发的全域沦陷

某大型集团渗透测试评估综述目标渗透路径详细说明信息收集某大型集团制造平台存在Shiro反序列化首先在我们拿到一份靶标名单之后我们肯定是先挑软柿子来捏的，目标资产一般来说可将其攻击优先级分为三个梯度：第