使用特殊字符实现零点击账号接管
点击上方[蓝字],关注我们建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即
阅读全文AgentSmith-HUB v0.1.8 更新说明
性能提升对比早期版本在相同 Project 的测试条件和相同的硬件(2vCPUs)条件下,TPS 从 4 万/秒 提升到 390 万/秒,内存从 350MB 减少到 80MB。 新增行为序列
阅读全文OWASP Top 10 从2021到2025有了哪些变化
字数 1270,阅读大约需 7 分钟来源:https://owasp.org/Top10/2025/OWASP Top 10 20251. 失效的访问控制2. 安全配置错误3. 软件供应链故障4.
阅读全文【安全圈】大疆扫地机被曝安全漏洞,6700台设备可被远程控制
关键词安全漏洞近日,西班牙一名 DIY 爱好者阿兹杜法尔(Sammy Azdoufal)在尝试用 PS5 手柄控制大疆(DJI)扫地机器人 Romo 时,意外发现了严重安全漏洞。通过该漏洞,他能够远程
阅读全文【安全圈】黑客利用 Facebook 广告投放假 Windows 11 更新窃取信息
关键词安全公司 Malwarebytes 报告发现,一起针对社交媒体用户的新型攻击正通过 Facebook 广告分发信息窃取型恶意软件。攻击者制作了几乎与官方 Windows 11 下载页面一模一样的
阅读全文【安全圈】全球零售巨头电商遭植入支付窃取器:PrestaShop 商城被“二次下单”攻击
关键词网络攻击安全公司 Sansec 披露,一家全球前十的大型连锁超市电商网站被植入数字支付窃取器(payment skimmer)。该集团年营收约1000亿欧元,在25个国家拥有超过1万家门店,其部
阅读全文【安全圈】黑客将 Pulsar RAT 藏进 PNG 图片:NPM 再现供应链投毒
关键词网络病毒安全研究人员发现,一起新的 NPM 供应链攻击利用“图片藏毒”技术传播远控木马。研究由 Veracode 威胁情报团队披露,恶意包被上传至 npm 平台,名称为 buildrunner-
阅读全文fastjson写文件挑战2——进展
因为出现了太多非预期的解,不得已发个中途进展。无交互的利用基本是写入恶意so,然后特定手段触发so,预期解也是一样的,只不过预期解藏的比较深。1,77加载恶意so首次利用成功,获得非预期奖金。但这个s
阅读全文Kali Linux通过MCP集成Claude AI实现渗透测试自动化
Kali Linux 已正式推出原生AI辅助渗透测试工作流,安全专家可通过Anthropic公司的Claude AI输入自然语言指令,这些指令将通过开源的模型上下文协议(Model Context P
阅读全文微软扩展Copilot数据防泄漏支持范围,阻止敏感文件处理
微软正在扩展 Purview 数据防泄漏(DLP)控制功能,将阻止 Microsoft 365 Copilot 处理所有存储位置(包括本地设备)中带有敏感标签的文件。这项变更旨在弥补企业AI部署中的关
阅读全文如何通过主动防护策略最大化提升DDoS防御能力
想象经营一家餐厅时,有人故意堵住入口导致付费顾客无法进门。DDoS(分布式拒绝服务)攻击原理类似,只不过其目标是数字基础设施而非物理空间。网络安全情报显示,2025年DDoS攻击量级已从千兆字节跃升至
阅读全文攻击者利用Apache ActiveMQ漏洞获取RDP权限并部署LockBit勒索软件
Apache ActiveMQ 存在一个已被攻击者积极利用的高危漏洞,导致企业网络全面感染 LockBit 勒索软件。攻击者利用 ActiveMQ 消息代理中的远程代码执行漏洞(CVE-2023-46
阅读全文“星链”断网措施使得俄罗斯和乌克兰前线战事攻守易势
编者按乌克兰军方情报显示,SpaceX针对“星链”终端的封锁已经严重干扰俄罗斯军队作战行动,包括军事通信、指挥协调、火力打击等方面,同时使乌克兰军队具备了作战优势。自俄乌战争爆发以来,乌克兰大部分传统
阅读全文每个开发人员都应该知道的 10 个基本终端命令
每个开发人员都应该知道的 10 个基本终端命令提高效率的 10 个 linux 命令Grepgrep 我们通常用来从终端输出/文本中过滤字符基本语法grep "let's find something
阅读全文CVE-2021-1732 内核提权详细分析
对 Windows 内核一直挺感兴趣的,打算先复现CVE并熟悉各种模块。在CVE-2021-1732中,真正的高危点并非单纯的未初始化内存,而是win32k 通过KeUserModeCallback主
阅读全文未来CSO训练营策马速报,五重豪礼祝你六六大顺!
文章来源于安在2026伊始,AI狂飙猛进。作为网安人,是被AI干?还是干AI?这不是选择题,而是励志篇!说干就干!关键是,怎么干?让前辈大咖牛人专家,马上来,上干货!安在助你致胜AI时代,成就职场未来
阅读全文黑客破解 Claude AI 窃取墨西哥政府 150GB 敏感数据
知名网络安全公司Gambit Security披露,一名身份不明的黑客通过精心设计的"话术",成功突破Anthropic Claude AI的安全防线,诱导其生成用于网络攻击的恶意代码。这场攻击从20
阅读全文新课上架!冰与火的战歌:Windows内核攻防实战
在技术迭代如潮的今天,Windows内核依旧是系统安全与开发领域的“兵家必争之地”。它深藏于系统最底层,掌控着内存管理、进程调度、硬件交互的核心权限——既是系统“防火墙”,也是攻防“主战场”。对于内核
阅读全文黑客利用 Claude AI 漏洞窃取政府数据
高危漏洞 紧急修复指南 RCE Patch 一名黑客从 2025 年 12 月开始,历时一个月,利用 Anthropic 公司的 Claude AI 聊天机器人进行攻击,识别漏洞、生成漏洞利用代
阅读全文出海踩坑?CRM 领军企业靠青藤 × AWS,破解 4 大安全困局
全球化征途,安全先行全球化浪潮下,中国企业出海已成不可逆趋势,但这条路从来不是坦途——复杂的网络安全环境、严苛的国际合规要求、跨时区的运营挑战,每一项都在考验着出海企业的底气。作为中国CRM领域的领军
阅读全文AUTOSAR 信息安全机制有哪些?
点击上方蓝字谈思实验室获取更多汽车网络安全资讯随着汽车网联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的网络安全已成为汽车安全的基础,受到越来越
阅读全文上海商业航空航天产业周定档6月 | 低空经济发展与安全大会、卫星互联网技术创新大会联袂召开
点击上方蓝字谈思实验室获取更多汽车网络安全资讯随着城市空中交通(UAM)、无人机物流、低空巡检等应用场景加速落地,低空空域正成为继陆地、海洋之后的“新经济蓝海”。据权威预测,到2030年,中国低空经济
阅读全文展商风采 | Paralink 携eSIM测试方案亮相 「AutoSec 10周年行业年会」
点击上方蓝字谈思实验室获取更多汽车网络安全资讯2026 年 3 月 12-13 日,由上海市普陀区科委指导,谈思实验室、谈思汽车主办,上海市车联网协会联合主办的「10周年行业年会 | AutoSec
阅读全文蔚来芯片子公司完成首轮融资,投后估值近百亿元
点击上方蓝字谈思实验室获取更多汽车网络安全资讯据雷峰网《新智驾》独家获悉,蔚来芯片子公司安徽神玑即将官宣首轮融资,投资方为多家产业资本和行业头部机构。投后估值接近百亿元人民币。有接近交易过程的人士表示
阅读全文鸡肉龙头被黑后停产一周,多地鸡肉供应短缺
关注我们带你读懂网络安全澳大利亚大型鸡肉加工商Hazeldenes在19日遭受网络攻击,被迫关闭厂区的Wi-Fi系统,导致生产受影响一周,直到25日才开始分阶段恢复生产;这一事件让维多利亚州大量商家都
阅读全文美国专家认为美军并非采取用纯网络攻击手段致委内瑞拉断电
编者按美国军事和电网网络安全专家分析认为,在针对委内瑞拉的“绝对决心行动”中,美军可能采用了网络攻击和动能攻击相结合的方式导致加拉加斯部分地区断电。美媒分析称,虽然主流叙事将美军突袭委内瑞拉期间的加拉
阅读全文大模型隐私泄露攻击技巧分析与复现
获取文中代码:回复 “代码” 前言大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,
阅读全文【免费领】智能设备安全技术干货:路由器0day漏洞挖掘指南
点击蓝字/关注我们今日福利全网稀缺的智能设备安全实战指南案例解析路由器Web应用、栈溢出漏洞“一站式”全面学习路由器漏洞挖掘技能限时福利,请及时领取哦 ~该资料内容较多,以下为节选的部分目录:长按识别
阅读全文【已复现】RustFS 管理控制台存储型XSS致管理员账户接管漏洞(CVE-2026-27822)
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”漏洞概述漏洞名称RustFS 管理控制台存储型 XSS 漏洞漏洞编号CVE-2026-27822公开时
阅读全文