Shiro550Shiro721 一键化利用工具,支持多种回显方式
免责声明 文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击,利用本账号所发文章进行直接或间接的非法行为,均由操作者本人负全责,W小哥及文章对应作者将不为此承担任何责任。 文章
阅读全文【Portswigger】2025年十大Web黑客技术:侧信道攻击崛起,创新方法重塑安全边界
欢迎来到 2025年十大Web黑客技术 榜单的揭晓时刻!这是我们由社区驱动的年度评选活动第19届,旨在识别去年发布的最具创新性和必读性的Web安全研究成果。这篇博文是与安全社区三步协作的高潮。在过去一
阅读全文AI 深度伪造诈骗致老人毕生积蓄受损:技术滥用下的安全防御盲区
导语:随着人工智能技术迅猛发展,其在生成逼真语音与视频内容方面的能力也达到了前所未有的水平。然而,技术进步的另一面正在快速显现——深度伪造(deepfake)被不法分子用于精心设计的诈骗活动,重创了普
阅读全文如何检测 CVE-2026-21509 漏洞利用
威胁简报恶意软件漏洞攻击2026年1月26日,微软发布了针对MS Office新漏洞的公告和补丁,该漏洞已被恶意利用:https://msrc.microsoft.com/update-guide/v
阅读全文Windows错误报告中缺失授权检查的分析
威胁简报恶意软件漏洞攻击1. 漏洞概述CVE-2026-20817 是 Windows 错误报告服务 (WER) 中发现的一个本地权限提升漏洞。该漏洞的原因是,该服务在处理进程创建请求时未验证请求者的
阅读全文网安原创文章推荐【2026/2/7】
2026-02-07 微信公众号精选安全技术文章总览洞见网安 2026-02-07 0x1 Coda:实现Windows/Linux入侵痕迹抹除网安武器库 2026-02-07 22:19:26
阅读全文记一次学员拿下CNVD证书-第三弹
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。一、前言 再来更新一期学员通过代码审
阅读全文跨站脚本攻击(XSS)速查手册(基础篇)
跨站脚本攻击(Cross-Site Scripting,XSS)是一类注入式攻击,攻击者会将恶意脚本注入到合法网站的页面中,进而劫持用户浏览器执行恶意操作。XSS 攻击主要分为三类:反射型 XSS(R
阅读全文真实数据曝光!经真实评委打磨的国自然本子,中标率提升87.6%!
距离2026年3月国自然申报只剩30天时间了!在最后这30天时间里,我们做什么才能在新规下最大化提高本子的中标率呢?如何在新规则下规避“硬伤”?怎么修改评审意见同时符合改版要求?跨学科申报,如何清晰阐
阅读全文【已复现】大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞
大蚂蚁 (BigAnt) 是杭州九麒科技有限公司开发的即时通讯系统,广泛应用于企业内部沟通、文件共享和协同办公。2026年1月,长亭安全应急响应中心监测到大蚂蚁即时通讯系统发布补丁修复了一处前台任意文
阅读全文智能必须内置安全!美国白宫拟出台AI安全政策框架
美国国家网络总监办公室主管肖恩·凯恩克罗斯表示,正在制定AI安全政策框架,并透露国家网络战略将在不久后推出。美国白宫国家网络总监办公室(ONCD)主管日前表示,正在制定一项AI安全政策框架,以便将安全
阅读全文已有企业收到通知,停用12家网安产品,要求上半年完成替换!
近日,网安圈再次传来重磅消息。据多家权威媒体报道,要求关键基础设施运营者和相关企业在2026年上半年之前,彻底停止使用主要来自美国和以色列的网络安全软件产品。这不仅仅是一次简单的采购调整,更是中国网络
阅读全文攻击面管理的投资回报率困境
攻击面管理工具承诺能够降低风险,但它们实际交付的往往只是更多信息。安全团队部署攻击面管理工具后,资产清单不断扩充,警报开始纷至沓来,仪表盘也被数据填满。这些都是看得见的活动和可量化的产出。但当管理层提
阅读全文JWT:渗透测试姿势全解析(含实战)
导语师傅们在渗透测试做越权时,尤其是小程序的资产会经常看到cookie的字段是以eyj开头的字符串,不乏会有些头痛,没办法修改一些敏感字段从而达到越权。这就是jwt(JSON Web Token)。下
阅读全文一文带你看懂fastjson2下的反序列化调用链完整过程
扫码加圈子获内部资料专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢
阅读全文一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)
0x00前言本来开学正忙于实现电竞梦(联盟高校联赛),某一天下午突然有位师傅联系我说可以免面试进组打省护红队,这么好的实战机会怎么能错过呢~(好好玩游戏,不要学我^^)0x01 一个出局的企业单位内网
阅读全文速进!年后大量安全项目
声明:群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCS
阅读全文日寇眼皮底下的虎口夺金
山东招远自古以来以盛产黄金而闻名于世。抗日战争中,招远人民在极端艰难危险的环境下,在日寇眼皮底下虎口夺金,千里交通线穿越硝烟密运黄金,为缓解党中央和陕甘宁边区财政紧张、夺取抗战胜利作出了重要贡献。财政
阅读全文【网络安全】防范OpenClaw开源AI智能体安全风险
一、OpenClaw 开源 AI 智能体OpenClaw(曾用名 Clawdbot、Moltbot)是一款在开发者社区中迅速走红并逐渐大众化的开源AI智能体。其核心定位是通过整合多方大语言模型(LLM
阅读全文寻找 Fuzzing 参数的一种方式
字数 440,阅读大约需 3 分钟前言在挖洞过程中,拿到一个网站,没有账号密码,不能注册用户。明面上所有功能需登录才能使用。这种情况,一般开始收集网站 API,寻找未授权接口,企图抓到突破口。但在抓
阅读全文【CVE-2025-3052】信任链条上的又一道裂痕:揭秘另一个安全启动绕过漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文Claude Opus 4.6 在主要开源库中发现 500+ 高严重性缺陷
🔍 事件概述:AI 模型主动找漏洞**2026 年 2 月 6 日,Anthropic 发布了其最新大型语言模型 Claude Opus 4.6,该模型在预发布测试中发现了超 500 个之前未知的高严
阅读全文斯图加特大学 | Fuzz4All:基于大语言模型的通用模糊测试
论文题目:Fuzz4All: Universal Fuzzing with Large Language Models论文作者:Chunqiu Steven Xia, Matteo Paltenghi
阅读全文Lenovo 机器上的 AppLocker 绕过: MFGSTAT.zip 的离奇案例
这篇博文记录了我在 Lenovo 机器上的一个小发现:C:\Windows目录下存在一个可写文件。最初我以为只有少数几款 Lenovo 机型受影响,但后来发现这个问题似乎波及所有型号。由于它可以被利用
阅读全文爱泼斯坦无码邮件原文第四批:它个人gmail邮箱10封邮件
因为资料过于敏感,不提供下载地址,有兴趣的朋友请私信我,把你的个人邮箱留下,我给你发。想购买这107G资料也是可以,300块买下载的种子文件。想做自媒体的朋友,可以留意一下。
阅读全文银狐黑产组织ValleyRAT远控样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。银狐组织是一个专
阅读全文拒付赎金!哈佛、宾大百万校友数据遭黑客公开
事件回顾:黑客公然“撕票”一个名为ShinyHunters的知名黑客组织,近日在其数据泄露网站上,公开了据称从哈佛大学和宾夕法尼亚大学窃取的数据,每家高校的数据量均超过百万条记录。此举被普遍视为因勒索
阅读全文微软开发轻量级AI检测工具,一键扫描大模型隐藏后门
微软周三宣布开发出一款轻量级扫描工具,可检测开源大语言模型(LLM)中的后门程序,从而提升人工智能(AI)系统的整体可信度。该科技巨头的AI安全团队表示,该扫描器利用三种可观测信号,能在保持低误报率的
阅读全文蛙池AI 一款无门槛渗透测试神器!
作为从业多年的渗透测试工程师,日常离不开数据包分析、payload构造,常常在各类工具间切换,忙碌却效率一般,这也是很多同行的共性困扰。手工漏洞挖掘流程繁琐,数据包捕获、分析到payload验证,需要
阅读全文