理性吃瓜的同时，不信谣，不传谣

理性吃瓜的同时，不信谣，不传谣

【已复现】LangChain 序列化注入漏洞(CVE-2025-68664)

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称LangChain 序列化注入漏洞漏洞编号CVE-2025-68664公开时间2025

【喜报】4篇研究成果被国际顶级会议NDSS 2026录用

近日，国际顶级学术会议 NDSS 2026（Network and Distributed System Security Symposium）公布录用结果，奇安信技术研究院合作完成的4篇论文成功被录

日产 2.1 万车主数据泄露，祸起供应商翻车

高危漏洞 紧急修复指南 RCE Patch 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的

圣诞节被“拔网线”？法国邮政金融系统遭黑客攻击瘫痪

继卢浮宫因视频监控系统弱密码被盗后，法国人的圣诞节也因为黑客攻击而蒙上了阴影。在“黑色星期五”和圣诞购物季的物流节骨眼上，法国人的“快递命脉”断了，堂堂法国国家邮政（La Poste）会被黑客在一年中

韩国反电诈出大招：购买手机卡必须刷脸

在数据泄露与电信诈骗横行的今天，韩国政府终于祭出了“大招”，但代价是普通人的生物信息。2025年12月，韩国科学技术信息通信部（MSIT）宣布了一项重磅政策：办理新手机号、携号转网或变更名义时，用户必

CVE-2025-55182 React2Shell 深度分析

目录一、前 言二、CSR、SSR、RSC，Server Actions三、Promise、Thenable四、Next.js Request五、漏洞原理六、Payload构造七、总 结一前 言2

【高危漏洞预警】n8n远程代码执行漏洞CVE-2025-68613

漏洞描述:n8n是一个开源的工作流自动化平台,它允许用户创建自动化工作流程以连接不同的服务和应用程序,该漏洞源于n8n在评估工作流中用户定义的动态表达式时,未能将其执行上下文与底层服务器运行时环境进行

长亭发布 AI 开发平台：白嫖算力，让 AI 参与真正的工程级研发

MonkeyCode 已正式上线，在线使用地址先放在最前面，方便你直接收藏： 👉 https://monkeycode-ai.com如果你最近在关注 AI 编程工具，可能已经有点“审美疲劳”了：能写

记一次内网渗透复盘-拿下域内30+机器

0x00免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学

理性吃瓜

Dirty Vanity：利用 Windows 远程 Fork 的代码注入新方法与 EDR 绕过

Dirty Vanity 是一种新的代码注入（code injection）技术，它滥用 Windows 操作系统中一个不太为人所知的机制：forking。本文将深入讲解 forking，介绍其合法用

珍贵宝石：新一代 Kerberos 票据伪造攻击（Golden/Diamond/Sapphire Ticket）

执行摘要Unit 42 研究人员提出了一套新的检测方法，可提升对新一代 Kerberos 攻击的发现能力。这类攻击允许攻击者通过修改 Kerberos 票据来维持特权访问。其中最广为人知的是 Gold

在转转冲动消费二手iPhone，结果真香了...

一直想换台iPhone，但新款价格让人望而却步，二手机市场又水太深——翻新、改装、暗病，这些词光是想想就头疼。作为一个普通用户，实在没精力和卖家反复周旋、赌运气。最后在朋友推荐下，我把目光投向了转转a

豪掷近700亿元押注云上AI+安全！Palo Alto迎战网络安全变革期

Palo Alto与谷歌云达成重大合作，未来几年将向其支付近百亿美元，以购买谷歌云与AI服务资源，将旗下产品全面集成谷歌云平台、AI平台、Gemini大模型等，并投入开发AI相关的新产品服务；据悉，P

MITRE发布2025年ATT&CK网络安全产品评测结果

MITRE已正式发布2025年 ATT&CK 企业级网络安全产品评测结果。今年共有11家安全厂商参与评测，部分厂商对外强调其在特定评测维度中实现了100%的检测率或防护覆盖率。01参与厂商与评测背景2

2025年安全团队必备的40款开源安全工具

开源安全软件是安全团队获得兼具灵活、透明、强大、免费的安全工具的主要途径。本文汇总的40款免费工具可帮助安全团队解决各种问题，从管理大型环境到发现配置错误，再到了解新技术如何改变威胁暴露面。01Aeg

漏洞挖掘：众测src测试姿势总结

导语最近在打众测和src，也挖到一下洞，这里分享一些我的测试流程和思路，希望能帮助各位师傅提供新的思路，共同学习，共同进步。支付漏洞支付漏洞是渗透测试的常客了，只要是商城的资产，支付漏洞一定是第一要测

【已复现】n8n 远程代码执行漏洞(CVE-2025-68613)

漏洞概述漏洞名称n8n 远程代码执行漏洞漏洞编号QVD-2025-49245，CVE-2025-68613公开时间2025-12-19影响量级十万级奇安信评级高危CVSS 3.1分数9.9威胁类型代码

安恒信息获哈尔滨亚冬会先进集体表彰

近日，哈尔滨第九届亚冬会公示先进集体和先进个人拟表彰对象名单，安恒信息获先进集体表彰。作为第九届亚冬会官方网络安全和数据安全赞助商，安恒信息全程承担了赛事整体的安全保障工作和相关分析研判、数据汇总工作

关于AI时代效率与安全，安恒信息X钉钉进行了一次特别分享

12月23日，在AI钉钉1.1新品发布暨生态大会期间，安恒信息联合钉钉举办AI时代的效率与安全·企业全域安全闭门交流会。钉钉CRO 赵先超、安恒信息高级副总裁杨勃、双方共同服务的标杆客户艾为电子CIO

浅析云存储安全漏洞

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈

实战｜记一次寄生虫站点中的组件Getshell到白嫖day

闲来无事的时候打开一个站点，看似平平无常其实已经被做了蜘蛛劫持通过模拟蜘蛛可以看到这个站点已经被hack干沦陷了本来不想管的，好奇心的驱动下，开始复盘操作仔细看了很久，扫描爆破路径和后台，什么的都没找

我的 5 个网络安全圣诞愿望

我决定尝试点新花样，写一篇更带“节日氛围”的文章。此前我多次直言对当下网络安全圈现状的不满——它的惰性，以及对变革的抗拒。随着 AI 迅猛崛起、威胁格局被根本改写，业界却愈发不愿接受、直面并适应这些新

图形化渗透测试辅助工具 - AuxTools（v5.8.1）

界面截图模块列表模块名称功能描述支持系统备注Whois查询该模块用于执行 Whois 查询，允许用户查询域名注册信息以及 IP 地址的所有者和相关信息windows/linuxIP地址查询该模块用于执

36x核x免杀之Python代码自修改技术

招新小广告CTF组诚招web、re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 admin@chamd5.org(带上简历和

YinVulKiller – 企业级漏洞猎杀引擎

🚀 YinVulKiller – 企业级漏洞猎杀引擎12,492 条 POC、27,000 指纹、6000 服务探针、31k 目录字典、FOFA/Hunter 一键联动——扫描-识别-利用-报告一条龙

警惕！你的云也许并不安全！

随着企业纷纷将核心业务与数据迁移至云端，云安全这一隐形的“达摩克利斯之剑”也悄然悬于头顶，成为制约企业云战略深入发展的关键因素。云环境的开放性、虚拟化与动态性等特点，也使得云安全面临前所未有的挑战。从

漏洞预警 | Mattermost信息泄露漏洞

0x00 漏洞编号CVE-2025-125590x01 危险等级中危0x02 漏洞概述Mattermost是一个团队沟通平台，允许团队成员通过消息、文件分享和集成了多种服务的渠道进行交流。0x03 漏

漏洞预警 | 天地伟业Easy7综合管理平台SQL注入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述天地伟业Easy7综合管理平台采用分布式架构，融合模数混合切换显示、用户权限控制、数据存储点播等功能，具备智能检索、视频诊断等特色应用，能