记一次加密小程序的支付逻辑漏洞挖取
扫码加圈子获内部资料专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢
阅读全文JAVA电商系统前台文件上传漏洞审计流程
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。一、前言 前几天学员找我一起
阅读全文OAuth重定向滥用:钓鱼&恶意软件投递攻击手法解析
注:本文翻译自 Microsoft 的文章《OAuth redirection abuse enables phishing and malware delivery》[1],可点击文末“阅读原文”
阅读全文论文一直投不中?退稿十几次,大牛帮选刊投稿后,被拒的5篇SCI全中了!
在经历过十几次退稿之后,我真心建议需要发表sci论文的老师和同学:不要死磕论文内容!去思考,去找捷径,去找套路!只要找对了方法,发sci论文一点都不难!很多人以为,我把论文写完了,最重要的工作就结束了
阅读全文ProxyBridge (Proxifier替代工具)
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送,建议大家把”
阅读全文T-Pot – 企业级一体化多蜜罐平台
⚡ TL;DR(30 秒极速安装)# 1. 准备系统:8-16GB 内存 / 128GB SSD / 直连互联网# 2. 安装最小化 Linux(推荐 Ubuntu 24.04 Server)# 3.
阅读全文攻防演练目标资产名称纠正
原文作者: 扶桑与彼岸花原文地址:https://xz.aliyun.com/news/19064在参与攻防演练时候,经常会出现目标单位出错的情况,导致在搜集资产时候发现查无此家.(例如浙江某医院第
阅读全文伪装成钉钉安装程序银狐最新攻击样本与威胁情报
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。最近几年银狐类黑
阅读全文漏洞扫描分析平台 对标商业级漏洞扫描器 | 主机探测、端点梳理、资产测绘、POC验证和自动报告
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立
阅读全文漏洞预警 | RustFS授权绕过漏洞
0x00 漏洞编号CVE-2026-276070x01 危险等级高危0x02 漏洞概述RustFS是一款基于Rust语言开发的分布式对象存储系统,采用高性能、内存安全的设计理念,支持S3兼容接口与集群
阅读全文漏洞预警 | 大蚂蚁即时通讯系统任意文件读取漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述杭州九麒科技大蚂蚁即时通讯系统是一款企业级IM通信管理系统,提供多种功能支持。0x03 漏洞详情漏洞类型:任意文件读取影响:获取敏感信息简
阅读全文漏洞预警 | 九佳易管理系统SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述九佳易管理系统是一款线上购物交互平台。0x03 漏洞详情漏洞类型:SQL注入影响:获取敏感信息简述:九佳易管理系统的/HuiYuan/Hu
阅读全文工具 | Linux_checklist
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介 Linux_checklist是一个用于快速检查Linux系统常见
阅读全文银河麒麟OS安全检测工具 | 资产清点、合规检查、漏洞扫描和报告生成一体化
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文爆红AI正在失控?深剖OpenClaw背后的安全风险!
引 言OpenClaw作为一款开源的AI智能体框架,凭借其强大的自动化能力——能够自主调用工具、访问网络、读写文件乃至执行系统命令——迅速赢得了全球大量开发者的青睐,被视为通往通用AI助手的钥匙。然
阅读全文【情报案例】美以猎杀哈梅内伊的情报推演
美以猎杀哈梅内伊的情报推演结合美国、以色列情报体系核心优势及以伊冲突、巴以冲突等实践经验,叠加最新行动披露细节,可完整推演美以联合猎杀哈梅内伊的全链条情报运作与行动逻辑,整个过程呈现 “长期潜伏渗透
阅读全文【情报】卫星图像显示伊朗反击和被打击情况
在为期三天的战斗中,伊朗军队袭击了位于巴林的美国海军第五舰队总部,以及位于埃尔比勒、科威特和迪拜的军事基地。波斯湾地区至少有六个美国军事基地遭到袭击,其中包括位于伊拉克和阿联酋的设施。卫星图像显示,美
阅读全文小心钻进你邮箱里的“发票陷阱”
“【电子发票】张某某先生,您的发票已开好,请点击下载”——当收件箱弹出这类带着你真实姓名的电子邮件,你是否会下意识点击?注意!这可能是境外间谍情报机关实施的精准网络攻击。一旦点击邮件中的附件或者链接,
阅读全文WebShell免杀之jsp篇
查杀平台1. 在线查杀平台(浏览器直接使用)河马在线查杀(https://n.shellpub.com/)查杀方向:聚焦 WebShell 全类型文件(PHP、JSP、ASP、ASPX 等),采用 “
阅读全文【红队】一款专为红蓝工程师和渗透测试人员打造的现代化、跨平台安全工具箱。
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有侵
阅读全文从内核层看受保护进程:PPL 如何成为杀软的“免死金牌”?
PPL简介随着安全威胁的演变,微软需要一种更强大的机制来保护系统进程免受篡改。微软从Windows8.1和Windows Server 2012 R2开始引入了受保护的轻量级进程,也就是Protect
阅读全文伦敦国王学院 | 恶意LLM对话式AI诱使用户泄露个人信息
原文标题:Malicious LLM-Based Conversational AI Makes Users Reveal Personal Information原文作者:Xiao Zhan, Ju
阅读全文云服务-Kubernets(K8S)安全
目录内容Kubernets概述Kubernetes (K8s) 是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它将一组物理或虚拟机器(节点)抽象成一个统一的集群资源,并代表你自动
阅读全文AI代码审计Skill实战:从0到1的构建指南
这是一篇关于如何用AI Skill赋能代码审计的实战总结,来自昨晚的一场内部技术沙龙。01写在前面年前我们开始折腾Code Audit Skill,初衷很简单——不是为了蹭热点,而是发现这玩意儿确实能
阅读全文AI 彻底改写战争要素与规则
目录AI在战争中的核心能量要素1: AI 对战争要素“数量”与“质量”结构性影响2.1 AI能够让低成本系统发挥更大的战术潜力2.2 伊朗空袭案例对“数量vs质量”的再定义要素2:AI 在“隐藏 vs
阅读全文【高危漏洞预警】青龙面板身份认证绕过漏洞
漏洞描述:青龙(ԛinɡlоnɡ)是一款开源的定时任务管理与脚本自动化运行平台支持JаvаSсriрt、Shеll、Pуthоn等多种脚本语言,常用于京东签到、自动抢购、数据爬取等场景,其提供Wеb管
阅读全文Chrome Gemini漏洞可致攻击者远程访问用户摄像头和麦克风
Part01高危漏洞曝光谷歌Chrome浏览器内置的Gemini AI助手被发现存在一个高危安全漏洞(CVE-2026-0628),攻击者无需用户任何额外操作,仅需用户启动浏览器内置的AI面板,即可实
阅读全文APT28组织利用MSHTML框架0Day漏洞在微软补丁发布前实施攻击
Akamai最新研究发现,与俄罗斯有关联的国家级威胁组织APT28可能已利用微软近期修补的一个安全漏洞实施攻击。该漏洞编号为CVE-2026-21513(CVSS评分:8.8),属于MSHTML框架安
阅读全文Windows错误报告服务ALPC提权漏洞,PoC利用代码公开
随着概念验证(PoC)利用代码的公开,微软 Windows 操作系统中的一个严重本地提权(LPE)漏洞(CVE-2026-20817)浮出水面。该漏洞存在于 Windows 错误报告(WER)服务中,
阅读全文