「企业SRC」SQL排序注入&云安全Minio渗透测试

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈

揭开搜索引擎的黑盒子

工作来源NDSS 2025工作背景网空搜索引擎已经成为了分析人员最常用的工具之一，但业界对这些网空搜索引擎的运作方式仍一无所知。工作设计为了日志便利，某些网络服务会在 Banner 中反带出请求者的

python可以py java有av 此为双胜

国内外1v1论文指导！985/211专业对口导师手把手指导至录用！SCI/SSCI/EI/中文核心/毕业论文

现在的学生真的好难！无论是本科、硕士还是博士，都逃不过写论文，发论文的折磨重试重试因为毕业、保研、职位晋升都得发论文，有的要求发高分SCI，有的要求发国内核心！但是自己写论文真的好难，特别是导师完全不

网络安全寒冬的当下（兼职讲师招聘）

公司决定优化人员结构，安全服务部本次裁员比例 30%，名单念到的同事请会后到 HR 办公室沟通。” 晚上九点的会议室里，总监的声音冰冷得没有一丝温度，灯光下，张明的名字赫然出现在裁员名单上。

云安全“随用随取”：天融信携手某省电信以云端安全资源池破解租户合规难题

近日，公安部发布了《公安机关网络空间安全监督检查办法（征求意见稿）》。与2018版内容相比，该办法将等级保护要求细化为“定级、测评、整改、自查”全流程，同时新增关键信息基础设施保护、漏洞整改、算法安全

【更新】水滴工具箱，集合各种渗透工具-v10

工具简介集成了抓包、扫描器、漏扫工具、子域名爆破、js探测、OA利用、框架利用、各类组件、jndi注入、内存马、内网渗透、webshell免杀、程序免杀、内网穿透、Windows溯源工具、Linux溯

网安原创文章推荐【2025/12/2】

2025-12-02 微信公众号精选安全技术文章总览洞见网安 2025-12-02 0x1 0089.如何从 JS 文件中公开的变量获取 AWS 密钥Rsec 2025-12-02 23:12:2

绕过“禁止粘贴”的模拟键盘输入工具

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

子域名模糊测试赢得35,000美元赏金！

forever young不论昨天如何，都希望新的一天里，我们大家都能成为更好的人，也希望我们都是走向幸福的那些人01背景安全小白团大家好，我是 HX007，全职漏洞赏金猎人，活跃于 BugCrowd

耶稣来了都得先跑一遍这工具——连上帝的rootkit都藏不住，顺手把内网打成等保三级

🔍 GScan v0.1 | Linux 应急排查“一键透视镜”10 分钟完成 4 小时的人工 Checklist，黑客路径自动溯源🚀 一句话概括“只读”也能跑，root 权限一键扫：文件、进程、网络

漏洞预警 | AI Feeds任意文件上传漏洞

0x00 漏洞编号CVE-2025-135970x01 危险等级高危0x02 漏洞概述AI Feeds是一款通过AI自动丰富内容来管理和处理RSS提要的WordPress插件。0x03 漏洞详情CVE

漏洞预警 | 易达科技-ECMS SQL注入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述易达科技-ECMS是易达科技推出的企业级内容管理系统，主要用于工程项目文档、技术资料、流程审批等内容的集中存储与协同管理，广泛应用于建筑、

漏洞预警 | 金和OA SQL注入和XXE漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电

工具 | Geoserver_gui_exp

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介Geoserver_gui_exp是一款geoserver图形化漏洞

从预警到恢复！威努特为制造企业构筑三道智能安全防线

背景介绍随着工业互联网的广泛普及与数字化生产的深度推进，制造企业网络安全正面临前所未有的严峻考验。一方面，勒索病毒变种迭代持续加速，攻击手段愈发隐蔽，对生产系统稳定性构成直接且严重的威胁；另一方面，传

开发代码复用导致的系统沦陷

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息

全民普法工作进入法治化新阶段

法治宣传教育是全面依法治国的长期基础性工作，关乎国家治理体系和治理能力现代化的推进进程。2025年9月12日，十四届全国人大常委会第十七次会议表决通过《中华人民共和国法治宣传教育法》，自今年11月1日

aistudio触发区域限制后的潜在解决方案之一

Google的aistudio是个很不错的AI入口，这里的模型是超长会话窗口，需要长久记忆上下文信息时，aistudio优势明显。A注册Google账号时用了北美的稳定手机号收取验证码，不是接码平台

【工具】可以追踪全球在轨卫星的网站

今天给大家介绍可以追踪全球在轨卫星的网站：1、LeoLabshttps://leolabs.space/LeoLabs 是一家总部位于加利福尼亚州门洛帕克的风险投资公司，向商业卫星运营商、政府监管和航

下线了不是完全下线

欢迎转发，请勿抄袭 在一些攻防实战当中，单一的web暴露面突破显然是不够的。在实际的攻防当中也将小程序纳入攻击目标当中。正常流程的测试就是打开、抓包、api测试等等。 但是会遇到一个情况，

DeepSeek V3.2策略游戏测试 | 进步很大

众所周知昨天DS发布了V3.2.据说是极大的提高了智商,所以我准备拿上次的帝国时代2游戏竞技场来复测一次。让AI通过MCP工具操作游戏, 玩策略游戏，最终打败对手:中秋特辑:中外AI大战!让AI们通过

伪装成税务调查表银狐最新攻击样本分析

安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。银狐组织是一个专

师傅来挖，金融众测（new！）

今天刚接了一个金融的众测项目，五湖四海的师傅踊跃报名！！众测：是一种在社区基础上进行的测试方式，通常是公司或组织在研发产品、软件或服务时需要让社区或用户参与测试，以便更好的了解产品的实际表现，发现潜在

“Web日志异常-AI检测系统”（六）（检测案例）

一、重新定义了定义抽空看了系统，发现一个问题：连.css都报警报，这不由得让我重新审视它的检测规则。经过再次梳理，现在精简了规则，重新定义了规则和模型之间的顺序检测问题，确保有效又不会漏。进入后台，会

CSPT漏洞是什么以及它如何结合其它漏洞利用

1.关于Restful风格以及CSTP漏洞其实这个漏洞似乎也有一年的历史了，并不算是很新的姿势，不过我最近才了解到，感觉很有意思，而且可以和很多我们熟知的老朋友漏洞结合利用，所以写一篇笔记来总结一下。

src专项挖掘知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

【安全圈】Glassworm 恶意软件爆发第三波攻击：24 个“李鬼”扩展包投毒，可窃取 GitHub 账号等

关键词恶意软件科技媒体 bleepingcomputer 昨日（12 月 1 日）发布博文，Glassworm 恶意软件针对 VS Code 插件生态发起第三波攻击，在 Microsoft Visua

【安全圈】法国足协遭遇黑客攻击，会员电话号码、电邮地址遭窃

关键词数据泄露法国足球协会 FFF 本月 1 日发布公告，表示各俱乐部用于行政管理尤其是球员注册管理的软件于 11 月 26 日遭遇网络攻击，引发数据泄露事件。在发现攻击者通过被盗账户进行未经授权的访

【安全圈】微软警告：Win11 系统 AI 智能体功能可能出现“幻觉”现象

关键词AI据科技媒体 TechPower Up 今天报道，微软在几天前宣布 Win11 系统将迎来一次 "agentic"（智能体式）大更新，不过微软最近在官方发布博文称，Win11 系统的 AI 智