已复现】FineReport 帆软报表前台远程代码执行漏洞
帆软报表是一款专业的企业级报表工具,专注于数据可视化与分析。它支持多数据源连接,能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制,帮助企业实现高效的数据决策与业务洞察。2025年12月,长
阅读全文大模型安全定制服务上线
引言:当代码变成语言,漏洞也学会了“说话”在 ChatGPT 引爆全球的今天,企业正在疯狂拥抱 AI。但你是否意识到,安全边界已经发生了本质的改变?传统网络安全防的是“代码漏洞”(如 SQL 注入、缓
阅读全文【已复现】Windows Admin Center权限提升漏洞(CVE-2025-64669)
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”漏洞概述漏洞名称Windows Admin Center权限提升漏洞漏洞编号CVE-2025-6466
阅读全文原创 Paper | IoT 固件 Fuzz:从 Harness 编写到 QEMU 适配
作者:知道创宇404实验室本文旨在探讨一种针对 IoT 设备的 AFL++ Fuzz 新方案。Harness 编写参考资料目前大部分 Fuzz 工具仅支持标准输入或命令行参数作为输入,而 IoT 设备
阅读全文【已复现】FineReport 帆软报表前台远程代码执行漏洞
帆软报表是一款专业的企业级报表工具,专注于数据可视化与分析。它支持多数据源连接,能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制,帮助企业实现高效的数据决策与业务洞察。2025年12月,长
阅读全文JS逆向 -- 某房指数一个简单的aes加解密
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!目标:请求参数signcode,和
阅读全文【等保测评】网络安全等级保护测评 安全物理环境
网络安全等级保护测评 安全物理环境概述网络安全等级保护S3A3安全物理环境中主要包括以下10个部分:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、
阅读全文【已复现】帆软FineReport export/excel SQL注入漏洞(QVD-2025-48729)安全风险通告
● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称帆软FineReport export/excel SQL注入漏洞漏洞编号QVD-2025-48729公开时间2025-12-15影响量级万
阅读全文稿费翻倍 | 25年刊编撰启动,聚焦AI安全新战场
年刊投稿活动奇安信攻防社区AI for securityAI安全稿费加20%,入选专刊再翻双倍《奇安信攻防社区-年度专刊》由补天平台携手网络安全行业多位顶尖攻防专家联合打造,深度凝结一线实战经验,并经
阅读全文网安原创文章推荐【2025/12/16】
2025-12-16 微信公众号精选安全技术文章总览洞见网安 2025-12-160x1 [Powershell]Start-BitsTransfer的应用蟹堡安全团队 2025-12-16 22:0
阅读全文网安原创文章推荐【2025/12/15】
2025-12-15 微信公众号精选安全技术文章总览洞见网安 2025-12-150x1 【免杀基础】AMSI介绍与绕过(实战哥斯拉过Defender)XRED.TEAM 2025-12-15 21:
阅读全文信息安全漏洞周报(2025年第50期)
点击蓝字 关注我们漏洞情况根据国家信息安全漏洞库(CNNVD)统计,本周(2025年12月8日至2025年12月14日)安全漏洞情况如下:公开漏洞情况本周CNNVD采集安全漏洞1733个。接报漏洞情况
阅读全文采用分离加载文件的方式实现静态免杀工具 -- RemoteShellcode(12月13日更新)
各类资料学习下载合集 链接:https://pan.quark.cn/s/b0a2f36933de===================================免责声明请勿利用文章内的相关技
阅读全文穿透waf跨平台实现Next.js RCE漏洞精准扫描
将二进制空间安全设为"星标⭐️"第一时间收到文章更新漏洞检测原理下面的方法将力求提供一种既安全又高可信的HTTP请求, 用于确认Next.js应用中是否存在该RCE漏洞。以下HTTP请求可用于确认该漏
阅读全文Plesk曝高危漏洞(CVE-2025-66430),可导致服务器被接管
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权
阅读全文网络操纵黑产调查:灰产SIM卡如何豢养虚拟水军操控舆论
Part01灰产SIM卡催生虚拟水军产业链剑桥大学最新研究揭示,一个庞大的国际SIM卡灰产市场正在大规模助长网络操纵与欺诈行为。研究团队发现,SMSActivate、5Sim、SMShub和SMSPV
阅读全文航天骨干炒股亏空向间谍泄密获刑 !|59元汉堡套餐“0元购”?上海一男子利用知名快餐APP系统漏洞,改价代下单1300笔牟利!
关键词间谍12月15日,“保密观”微信公众号披露一起典型涉密案件。某航天科研院所技术骨干陈某某,因个人投资失利导致经济压力,在境外间谍组织利诱下,多次向对方提供内部、涉密文件,非法获利43.35万元。
阅读全文为什么安全意识培训“没用”?研究揭示问题根源与改进方向
几十年来,政府机构、私营企业和非营利组织都在努力教育员工“不要随便点可疑链接”或“不要下载不安全文件”。然而,越来越多的证据显示,这类网络安全意识培训的效果非常有限,甚至可能产生负面影响。如今,从钓鱼
阅读全文20个任意文件下载漏洞挖掘技巧(附实战案例)
任意文件下载漏洞源于应用对用户输入的路径校验缺失,攻击者可通过构造恶意请求读取服务器敏感文件(如配置文件、源码、密钥等),甚至间接导致远程代码执行。据渗透测试统计,该漏洞在文件下载、图片预览、文档查看
阅读全文安恒信息获CNNVD年度表彰
2025年12月10日,由中央网络安全和信息化委员会办公室、国家市场监督管理总局共同指导,中国信息安全测评中心主办的“第十五届网络安全漏洞分析与风险评估大会(VARA)”在天津梅江会展中心隆重召开。国
阅读全文永久密钥:73FN2-3VWHF-83KJQ-F4XWK-6CQGG
大家好,这里是渗透Xiao白帽!熟悉我们的朋友应该都知道,我曾经推荐过的聚合了全世界AI模型于一身的【天道AI】,目前已经稳定运营三年时间了,对外价格一直是1000元/年/人!而且为了优化用户的使用体
阅读全文「干货分享」OAuth2.0漏洞实战案例
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈
阅读全文无0day复杂利用!挖逻辑纯靠 “肉眼扫描器”?
渗透测试人员堪称代码世界的 "超级侦探",手握 Burp Suite 这把 "神奇放大镜",进入甲方的资产海洋遨游,在其中对着页面疯狂改参数、发请求,却总被系统用平淡入手的响应打发,如同在广阔的太平洋
阅读全文Yara 退休,Yara-X 接棒
十五年来,Yara 已然成为全球恶意软件分析、威胁情报、威胁狩猎以及数字取证领域的基石。研究人员通过其灵活的语法和强大的模块化设计,定义基于文本或二进制模式的规则来分类和识别恶意软件。随着形势的变化,
阅读全文强推一个永久的攻防演练、渗透攻防知识库
想跳槽面试,翻遍全网找大厂真题,要么是三四年前的旧题,要么零散得凑不成体系,连份能参考的面经都没有;护网演练到关键节点,急需某个漏洞的 POC/EXP,在各个群里 “求资源” 求到半夜,拿到的还是过期
阅读全文AI生成视频以假乱真!天融信专家对话央视呼吁公众注意甄别,警惕引流新套路
近年来,生成式人工智能技术被广泛应用,在为人们提供便利的同时,也让造谣者有了可乘之机。近期就有多起AI生成谣言在网络广泛传播,误导公众认知,破坏网络环境。今年11月28日网友上传的一段视频,一名模特在
阅读全文天融信受邀出席鸿蒙办公产业峰会,携手启动擎云星河计划
近日,以“众擎致远,智启未来”为主题的鸿蒙办公产业峰会在武汉举行。天融信科技集团受邀出席峰会并共同启动擎云星河计划(二期)。同时,天融信荣获商用市场“先行奖”,为鸿蒙商用办公应用生态持续贡献安全力量。
阅读全文记一次抽丝剥茧式的渗透测试
作者:苏苏的五彩棒原文地址:https://forum.butian.net/share/2422网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK
阅读全文一文吃透云安全:11 大高发威胁与实战应对方案
这两年,身边做技术、做业务的朋友几乎都在说一个词——上云提速。从开发测试环境到核心业务系统,从文件存储到大数据平台,越来越多的关键数据、关键流程被搬进了云。成本、弹性、效率的确都在提升,但一个现实问
阅读全文赛场上的 代码 暗门猎手
🕵️♂️ Sacnner – AWD 赛场上的 PHP 暗门猎手用 Go 锻造的轻量级安全手术刀,专挑源码里那些披着羊皮的 WebShell;AST 污点追踪 + 签名双引擎,让「⚠️ 高危」后门无
阅读全文