漏洞预警 | 金和OA SQL注入和XXE漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电
阅读全文工具 | sacnner
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介sacnner是一款基于Go的PHP代码安全扫描器。0x01 功能说
阅读全文渗透测试报告自动生成工具SSReportTools
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文抓住木马病毒窃密的“狐狸尾巴”
“本月考勤公示”“年度放假安排”“高温补贴发放声明”等办公类文件,是职场中常见的电子文档。但一些别有用心的人会将其伪装成含有窃密病毒的文件,易使有关单位人员放松警惕,一旦点击将对信息数据安全造成危害。
阅读全文【网络安全】JSONP跨站劫持漏洞
JSONP跨站劫持漏洞漏洞名称JSONP跨站劫持漏洞漏洞地址https://www.mem.com/漏洞等级中危漏洞描述JSONP接口因缺乏对请求来源的有效验证,存在跨域数据泄露风险。攻击者可通过构造
阅读全文白话AI安全:32个故事带你读懂AI的攻防博弈(文末赠书)
关注我们丨文末赠书如今,AI已为人类的生活带来巨大的改变,我们在享受着AI带来便利的同时,却很少想过:如果它失控怎么办?诺贝尔物理学奖、图灵奖得主,“AI教父”杰弗里·辛顿(Geoffrey Hint
阅读全文天地伟业Easy7 queryPassword接口存在任意文件读取漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【2026最新】社工钓鱼工具推荐合集,红队必备
1、kali setoolkit用setoolkit进行钓鱼攻击,kali是根据要克隆的网址将网站保存在某个文件夹下,并且添加一些其他的信息,主要是将受害者输入的信息截获下来,并保存到有一个文本文件中
阅读全文APT37组织TMD强壳攻击样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。APT是全球企业
阅读全文云手机Redroid Android13虚拟摄像头方案
搭建云手机(无需Root权限)云手机Redroid Android13源码一键编译云手机Redroid Android 13 一键构建脚本云手机Android13系统定制虚拟摄像头(Redroid魔改
阅读全文网安原创文章推荐【2025/12/8】
2025-12-08 微信公众号精选安全技术文章总览洞见网安 2025-12-08 0x1 丝滑的任意用户密码重置安全无界 2025-12-08 22:54:31 本文讲述了一次授权攻防测试中的
阅读全文【高危漏洞预警】n8n远程代码执行漏洞CVE-2025-65964
漏洞描述:n8n是一个开源的工作流自动化平台,用于创建自动化任务和流程,受影响的版本从0.123.1到1.119.1之间,由于项目预提交钩子(рrе-соmmit hооkѕ)的保护不足存在远程代码执
阅读全文别等告警刷屏了!87%的未知APT,正在被这套AI架构精准捕获
是否曾经历过这样的深夜:刚完成一轮漏洞补丁部署,转身便看到监控平台上潮水般涌来的数百条告警。传统的基于规则与签名的防护体系,如同手持通缉令追捕逃犯的守卫——面对不断“改头换面”的新型攻击,早已力不从心
阅读全文深度剖析:React Server Components安全漏洞CVE-2025-55182
关于React Server Components安全漏洞(CVE-2025-55182),我们前面已经发过两篇文章了,但都是在谈怎么复现,没有对漏洞的本质进行分析,不太符合隐侠的风格哈哈。一般不喜欢
阅读全文自研C2【XC2】1.0.5版本发布,新增C++植入端【支持生成DLL】、新增Windows服务端、双端通信加密
前言之前已经发布了四个版本,目前为第五个版本,做了很多优化,新增了C++植入端,目前可以同时生成GO植入端以及C++植入端,根据实际需求生成对应的植入端即可。之前文章如下自研C2【XC2】1.0.4版
阅读全文三星对国产屏幕厂商的反击来了!iQOO15卖爆背后所隐藏的三星显示简史
站哥被禁言之后,曾通过小号透露过2026年有好几台三星屏新机正在测试中的消息,其中固有三星极为放低的姿态,但iQOO15采用三星顶级屏幕之后卖爆了的示范效应亦是重要推动因素。由此可见,三星屏幕虽然近年
阅读全文下周上海见!请查收来自「AI安全论坛」的邀请!
AI2025上海世博中心12月18日15点 「AI安全论坛」扫码报名,上海见论坛看点抢先知字节跳动及行业客户的AI安全落地应用AI Agent全生命周期安全风险与技术创新智能体身份和权限管理平台首发非
阅读全文【安全圈】被投诉钓鱼网站 TOP10 公布,假冒腾讯公司、国家人社部、苹果公司前三
关键词钓鱼网站根据 12321 网络不良与垃圾信息举报受理中心(www.12321.cn)接到网民投诉的短信、邮件、网站等信息,2025 年 11 月,被投诉的钓鱼网站前十名公布。被投诉最多的是假冒腾
阅读全文【安全圈】大学生为赚学费出售"白码"无检测Webshell,已入侵5200余个政府/教育网站
关键词白码webshell安全研究人员发现了一起规模庞大的僵尸网络活动,其幕后黑手并非国家资助的APT组织,而是一名试图赚取学费的孟加拉国大学生。Cyderes Howler Cell逆向工程团队的最
阅读全文【安全圈】新型Mirai衍生僵尸网络ShadowV2现身 瞄准多品牌IoT设备漏洞发起攻击
关键词僵尸网络一款名为 "ShadowV2" 的新型 Mirai 衍生僵尸网络恶意软件已被发现,其利用已知漏洞针对 D-Link、TP-Link 等厂商的物联网设备发起攻击。FortiGuard La
阅读全文【安全圈】FBI 警告:黑客用 AI 伪造绑架视频以索要赎金
关键词AI犯罪据公安部网安局消息,近日,江西吉安网警成功破获一起涉嫌提供侵入、非法目前,犯罪嫌疑人王某、王辰某被公安机关依法刑事拘留。 END 阅读推荐【安全圈】“黄牛”开挂抢票非法获利十万余元
阅读全文关于火绒安全产品防护CVE-2025-55182高危漏洞的公告
近日,火绒安全团队监测到React Server Components存在一个CVSS评分10.0分(最高风险等级)的高危远程代码执行漏洞,漏洞编号为CVE-2025-55182。拦截演示该漏洞源于R
阅读全文诚邀渠道合作伙伴共启新征程
随着业务的不断扩展和市场需求的增长,火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划,期待与更多志同道合的伙伴一起把握行业趋势,共同开拓市场潜力,携手共创网络安全的美好未来
阅读全文2026年IEEE Fellow名单(网络空间安全领域)
IEEE Fellow(IEEE会士)是国际电气与电子工程师协会(IEEE)授予会员的最高荣誉,相当于工程领域的“院士”级别,代表了会员在电子、电气、计算机及信息技术领域做出了重大和卓越的贡献,是极具
阅读全文TD路由器环境模拟与漏洞分析
一、环境配置版本 :AX3000_Pro_V16.03.49.26EMUX :emux二、EMUX配置首先按照官方的步骤配置EMUX的环境:docker run hello-worldsudo gro
阅读全文百万次攻击!GhostFrame 钓鱼工具包凭 iframe 伪装难检测
一款名为 GhostFrame 的新型高级钓鱼工具包已在全球发起超 100 万次攻击,成为当前网络安全领域的重大威胁。该工具包于 2025 年 9 月由梭子鱼(Barracuda)安全研究人员首次发现
阅读全文【非虫新课】阶段二来咯!安卓软件开发与逆向分析(工具篇)
随着移动互联网进入深水区,企业正面临前所未有的安全挑战:1风控与对抗升级:金融、电商等行业面临黑产技术迭代,加固、混淆、虚拟化防护成为标配。2合规与检测困境:App上架审核趋严,隐私合规检测、安全扫描
阅读全文React2Shell WAF大战小结
React2Shell WAF大战小结前言CVE-2025-55182(React2Shell)是 2025 年最具破坏性的 Web 框架级 RCE 漏洞之一。漏洞本质在于 React Server
阅读全文默安科技荣膺“浙江省科技新小龙” 创新实力获省级权威认可
近日,浙江省高新技术企业协会公布了“浙江省科技新小龙”企业名单。凭借在网络安全领域持续的研发创新与显著的市场影响力,默安科技作为新一代信息技术领域代表企业之一,成功入选。这一荣誉标志着公司的创新活力与
阅读全文