某科技公司后台存在弱口令导致大量数据泄露

扫码领资料获网安教程本文由掌控安全学院 - sbhglqy 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）由于我是个挖洞小白，就只能先从最简单

4月社区投稿活动 | 漏洞挖掘

2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋，可在社区商城提现)，打空截止，不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原

“工匠”不想再谈Mythos

我好奇 Mythos 是否擅长撰写关于 Mythos 自身的思想性文章，因为如果答案是肯定的，那么它很可能危及数以千计的生计。https://x.com/lcamtuf/status/20447826

微软无视，RedSun PoC 已公开（Windows 用户正在为漏洞买单？！）

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

【安全圈】IPv8草案发布，互联网迎来重大变革！100%兼容IPv4

关键词IPV8尽管IPv6已经推行超过二十年，但由于其与旧有网络协议（IPv4）并不兼容，导致全球迁移进度未如预期。终于，IETF近日发布全新Internet Protocol Version 8 (

【安全圈】WordPress 数十款插件被植入后门，超 2 万站点面临风险

关键词后门据 Techcrunch 报道，热门开源网页博客软件 WordPress 的数十款插件现已下线，原因是这些插件中被发现存在后门程序，该后门可向所有使用这些插件的网站推送恶意代码。这一后门是在

【安全圈】开源AI中转站现高危漏洞 利用缺陷可以伪造任意金额充值

关键词漏洞经营 API 中转站业务的站长请注意：New-API 项目日前出现高危漏洞，借助漏洞可以伪造任意金额充值，使用该项目搭建的 API 中转站应当立即升级到最新版。新版本已经调整 Stripe

当AI学会使用工具：Agentic AI与MCP生态的七大安全风险

当AI学会使用工具：Agentic AI与MCP生态的七大安全风险原创 · 比特波特 · 2026-04-16核心要点Agentic AI 和 MCP 协议正在构建一个全新的技能生态体系，AI 可以调

阿里Qwen被曝将推网络安全版本，安全大模型竞争开始提速

4月17日，星期五，您好！中科汇能与您分享信息安全快讯：01Splunk曝远程代码执行漏洞，日志平台也可能反过来变成攻击入口Splunk近日披露，Enterprise和Cloud Platform多个

某APP的一次渗透

文章转自掌控安全EDU一、前言 最近项目上遇到很多关于渗透测试的资产为App相关的，所以这篇文章主要讲一下App挖掘思路和测试方式，下面的案例均为一两年前在项目上的真实漏洞案例，当然肯定还有其他

25类常见网络安全设备集合：防火墙、EDR、堡垒机、UTM、NGFW、NIDS、HIDS、IPS、IDS、安全网关、蜜罐

当前，企业业务越来越依赖网络：从员工远程办公的 VPN 连接，到客户访问 Web 应用的流量交互，再到核心数据库的日常运维，每一个环节都可能成为网络攻击的突破口。据《2024 年全球网络安全报告》显

每周高级威胁情报解读(2026.04.10~04.16)

2026.04.10~04.16攻击团伙情报APT37 通过 Facebook 发起的有针对性入侵活动APT35组织在“史诗之怒”冲突前对目标进行系统性网络侦察Storm-2755 针对加拿大雇员进行

容易被忽视的越权

容易被忽视的越权正文有问题的接口POST /graphql HTTP/2Host: hackerone.comCookie: yourcookieUser-Agent: Mozilla/5.0 (Wi

Codex Security代码审计初体验

昨天申请并通过了OpenAI的个人认证，加上前段时间以开源贡献者的身份申请了OpenAI和Anthropic的赞助，分别获取了两家的max会员半年，我会写几篇文章，分别分享一下Codex Securi

2026年第一季度疑似伊朗背景的APT组织攻击事件综合分析

2026年第一季度，疑似伊朗背景的APT组织攻击活动呈现多元化、协同化态势，共监测到7个主要活跃组织，分别为MuddyWater（Seedworm）、APT35（Charming Kitten）、AP

重磅！填补威胁信息评价标准空白，安恒信息核心主笔起草国家标准征求意见稿发布

当网络攻击成为常态，威胁信息的质量直接决定了防御的成败。然而长期以来，我国网络安全领域始终缺乏一把衡量威胁信息价值的统一标尺。如今，这一空白正被填补。2026年4月9日，全国网络安全标准化技术委员会（

安恒信息护航四川省卫生健康行业网络安全技能大赛，实战淬炼医疗数字防线

4.10第四届四川省卫生健康行业网络安全技能大赛2026年4月10日，第四届四川省卫生健康行业网络安全技能大赛在中国电信股份有限公司成都分公司圆满落幕。本次大赛由四川省卫生健康委员会主办，四川省卫生健

记一次某事业单位的二杀

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具

网络安全设计的防御性大模型GPT -5.4-Cybe发布

OpenAI于2026年4月正式发布了专为网络安全设计的防御性大模型——GPT -5.4-Cyber 。这是OpenAI针对紧迫复杂的网络威胁环境，以及应对竞争对手Anthropic推出的神话模型而做

伊朗中部伊斯法罕省遭袭期间，该国境内大量美国制造的通信设备突然失灵、操作系统崩溃

这不仅是一次单纯的设备故障，更揭示了现代冲突中一个令人不安的新范式：一个国家关键基础设施的“神经中枢”，是如何在物理攻击的同时，被预设的“数字开关”精准切断的。🔍 事件概要与关键疑点根据新华社援引伊朗

威胁警报：云原生网络犯罪组织 TeamPCP

导语：近日，安全研究团队披露了一个名为 TeamPCP（又称 PCPcat、ShellForce、DeadCatx3）的新型网络威胁组织。该组织于2025年12月发起大规模攻击活动，以云原生环境为目标

开箱即用！Chrome渗透神器「功能全拉满」

还在为渗透测试装一堆插件来回切换吗？HackBar、信息收集、指纹识别、XSS、SQL注入、JS审计、Shodan查询……今天给大家推荐一款全能型渗透浏览器插件：黄油曲奇。一个插件 = 一整套渗透工具

Windows Defender LPE 0day 漏洞

RedSun - Windows Defender LPE 0day 漏洞：当 Windows Defender 检测到恶意文件带有云端检测标签时，它可能会将检测到的文件重写回其原始位置，而不仅仅是将

暗网线人消息：如果属实，那将是件大事

如果属实，那将是件大事。黑客组织 RubiconH4ck 声称正在出售 281GB 的美国国家安全局数据，其中包括文档数据和敏感成员信息。

开除速度一定要快！

1v1论文指导！985/211专业对口导师手把手指导至录用！SCI/SSCI/EI/中文核心/毕业论文

先写大论文，还是先发小论文？这是很多研究生和博士生在进入学校之后最先遇到、也最容易纠结的选择题。大论文定下限，小论文定上限。有下限没上限，找工作难；有上限没下限，毕不了业。那么大论文和小论文，怎么选才

综合实战演练（下）——攻击实施与结果分析

一、前言概述本课将继续综合实战演练，包括攻击实施、EDR反应分析、攻击痕迹清理和实验报告撰写，通过实践，将能够理解攻击与防御的对抗关系。二、相关内容2.1 攻击实施与监控2.1.1 部署恶意文件步骤1

Zero-Day的隐性经济体系｜THE COI

01关于第一产业第一类：Zero-Day（第一产业）参照经济体系结构中的定义，第一类对象对应的第一产业特指原始世界的资源，如物理世界中的煤矿或石油。在网络安全产业中，本报告所称“第一类：Zero-Da

网络安全产业观察框架｜THE COI

01框架设想网络安全并非一个单一技术领域，而是一个由资源、技术、机构、需求与制度共同构成的复杂生态系统。随着网络安全能力在全球范围内被持续生产、交易、部署与治理，这一领域已逐渐演化为一个具备清晰分工、

重新理解网络安全第二产业｜THE COI

01关于第二产业第二类：科技制造与价值交付（第二产业）在网络安全产业中，第二类对象对应第二产业，特指将科技能力产品化、工具化、服务化或金融化，并以商业形式交付给最终使用者的产业体系。产业生态不仅涵盖科