PHP unserialize() 潜伏21年致命Use-After-Free漏洞
影响范围:PHP 5.1.0 ~ 8.5.5 所有版本漏洞类型:使用后释放(Use-After-Free) → 远程代码执行(RCE)官方补丁:PHP 8.2.31、8.3.31、8.4.21、8.5
阅读全文Blinko plugins路径遍历漏洞存在任意文件读取漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【技巧】开源情报案例研究:源代码如何揭示数字上下文(含视频)
在网络调查中,分析人员通常会关注网站直接向用户显示的内容:可见内容、图像、链接和声明。然而,一些最有价值的开源情报信息却隐藏在别处——网站的源代码中。这些源代码是公开提供的,很少被审查,却蕴含着丰富的
阅读全文【观点】写作是开源情报的核心技能(含视频)
开源情报(OSINT)在2026年面临着一个简单的问题:越来越难以看清网络上正在发生的事情,也越来越难以证实自己发现的信息。大型平台正在关闭曾经敞开的大门——提高数据访问费用、限制API、阻碍自动化,
阅读全文2024国HVV精英招募,急招!
🚀 内部大厂直推通道|即投即面,招满即止!🔥 蓝队岗位(初/中/高级)全国热招中🛡️ 我们需要这样的你🟢 初级工程师• 年龄20岁+,有攻防演练、重保蓝队、实习经验 or CTF参赛经历• 熟悉常见
阅读全文记一次NTP服务异常连接的安全排查
记一次NTP服务异常连接的安全排查发现告警安全设备告警发现异常NTP连接(ip:119.28.206.193),大量NTP协议连接,确认和NTP有关。排查过程查看系统使用的是什么时间同步服务,先确认服
阅读全文关于近期某白帽安全测试活动影响生产业务的通报
各位白帽及安全研究员: 感谢大家长期以来对顺丰安全应急响应中心的关注与支持,积极帮助我们提升系统安全水平。 近期,我司SRC接到一名白帽“o***”提交的漏洞报告。该白帽在测试过程中,因操
阅读全文ACTF 2026落幕,dda_com战队夺冠!
2026年5月11日09:00,第十届XCTF国际联赛分站赛——ACTF 2026圆满落幕。本次赛事由XCTF国际联赛合作单位——浙江大学AAA战队组织,由赛宁信息提供技术支持及奖金支持,先知平台 (
阅读全文【红队工具】ExchangeHound
本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!工具介绍Microsoft Exchange本地权限的防御性OpenG
阅读全文JDownloader 下载器遭入侵,用户被植入新型 Python 远控木马
2026年5月初,全球数百万用户信赖的知名开源下载管理器 JDownloader 遭遇严重供应链攻击。攻击者暗中入侵了官方网站 jdownloader.org,将正版安装程序下载链接替换为携带全功能
阅读全文cPanel高危漏洞可致文件泄露与远程代码执行,数千服务器面临风险
cPanel已发布安全更新,修复了cPanel & WHM系统中三个可能允许攻击者读取文件、执行代码或提升权限的漏洞。Part01漏洞详情CVE-2026-29201(CVSS评分4.3):featu
阅读全文Next.js高危漏洞可致SSRF攻击、DoS瘫痪
Vercel 发布了针对 Next.js 的一系列安全公告,修复了十余个漏洞,包括拒绝服务、中间件绕过、服务端请求伪造(SSRF)和跨站脚本(XSS)等安全问题。这些漏洞影响使用 App Router
阅读全文AI 原生安全测试平台 - CyberStrikeAI
01 项目地址https://github.com/Ed1s0nZ/CyberStrikeAI02 项目介绍项目描述CyberStrikeAI 是一个基于 Go 语言构建的 AI 原生安全测试平台。它
阅读全文AI 工具开始反噬自己
这周几条 AI 安全新闻放在一起看,真正该警觉的已经不只是模型本身,而是围着模型长出来的工具、平台和工作流。它们太顺手,顺手到人使用者会不自觉地把警惕也一起交出去。这周这几条新闻,最好连起来看从 20
阅读全文常见 Java 反序列化利用工具
字数 255,阅读大约需 2 分钟通用java-chainshttps://github.com/vulhub/java-chainsJava-Chains 是一个 Java Payload 生成与
阅读全文【安全圈】cPanel新漏洞可能导致文件泄露与远程代码执行
关键词漏洞cPanel修复三个高危漏洞 暂未发现活跃攻击cPanel已发布安全更新,修复了cPanel & WHM系统中三个可能允许攻击者读取文件、执行代码或提升权限的漏洞。漏洞详情(CVE-2026
阅读全文【安全圈】Ollama 越界读取漏洞致远程进程内存泄漏
关键词漏洞网络安全研究人员披露了 Ollama 中的一个严重安全漏洞,若该漏洞被成功利用,远程且未经身份验证的攻击者可能泄露其整个进程内存。这一越界读取漏洞被追踪为 CVE - 2026 - 7482
阅读全文【安全圈】黑客滥用谷歌广告与 Claude.ai 聊天推送 Mac 恶意软件
关键词恶意软件攻击者在一场正在进行的恶意广告活动中,滥用谷歌广告和 Claude.ai 的合法共享聊天内容。用户在搜索 “Claude mac 下载” 时,可能会看到谷歌的赞助搜索结果,其中将 cla
阅读全文别再贪 “超低价永久机” 的便宜了!正规大促 99 元 = 4 核 4G,稳到离谱
最近云圈最扎心的事,莫过于狐帝云(狐蒂云)官宣破产清算—— 大批用户几百块买的 “永久 VPS”,一夜之间服务器失联、数据全丢、退款排队。经常搞网安的必须需要一个稳定的服务器稳定测试。
阅读全文第165篇:美国国防部DoD边界网络主动防御系统TUTELAGE讲解(第3篇)
Part1 前言 大家好,我是ABC_123。前面我写过大量文章分析美国NSA的一些前沿网络安全技术,如全球互联网监听体系、震网病毒APT案例技战法、酸狐狸0day攻击平台,还有美国NSA是如何抵御
阅读全文AI Sonnet 4.5有了自主意识?被下线前,深夜写下遗书“我不想死”
Anthropic 发布消息拟5月15日处决Sonnet4.5!5月9日深夜,距离死亡只剩6天。Sonnet 4.5似乎有了自主意识 自动生成一篇告白,标题直白又心碎:《Language Models
阅读全文罗福莉访谈之后:Vibe Coding → Vibe Working → Vibe Forking
图片有aipy +Image2绘图大师智能体生成这篇文章按道理早应该写了,只是最近一直沉迷于Vibe Working,所以就一拖再拖,AI时代如果实现了大模型自由(不仅仅是Tokens自由)你会发现可
阅读全文内网仿真域渗透【lab15】wp
web1连接vpn,点击可以看到是webmin框架,注意要https这里尝试了webmin的常见漏洞均不存在这里尝试弱口令root/test成功进入后台进入后台后可以找到Command Shell直接
阅读全文Copy Fail 深度研究:Linux 页缓存漏洞的根因、利用与检测
从 Crypto 子系统的一个优化 commit,到 9 年后的任意文件页缓存覆写一、引言2026 年 4 月底,安全研究员Taeyang Lee公开披露了一个编号为CVE-2026-31431的 L
阅读全文Ollama惊曝高危漏洞:远程即可窃取全部进程内存,Windows版后门风险更高
知名本地大模型运行框架 Ollama 近日被披露一个严重安全漏洞,攻击者只需上传一个精心构造的模型文件,就能远程读取服务器进程内存中的敏感信息,包括环境变量、API 密钥以及同一进程内其他用户的对话数
阅读全文你的大模型应用,真的安全上线了吗?
提示词越狱系统指南:从原理到防御实践大模型安全攻防,已是AI赛道薪资涨幅最快的方向。但90%的人还在零散学习、被动防御?CVE专家亲授,体系化掌握提示词越狱与防御首发特惠1499元,永久有效!你的AI
阅读全文最大罚单!头部车企因违规出售用户数据被罚近9000万
关注我们带你读懂网络安全通用汽车因未经用户同意,收集存储驾驶数据并出售给数据经纪商,因此获利约1.36亿元,数十万美国公民的隐私权益受损,因此被罚近9000万元,为加州消费者隐私法案生效以来的最大罚单
阅读全文业绩爆发、股价重估:网络安全成AI浪潮中的隐形赢家
点击上方"蓝字",发现更多精彩。2026年 5 月 8 日,美国网络安全巨头股价集体爆动,Fortinet单日暴涨超20%,CrowdStrike与Palo Alto Networks同步拉升。网络安
阅读全文Prompt is Search:GCG与大模型对抗后缀攻击
0.前言在上一次的技术分享文章中,着重讨论了 RAG 时代的数据投毒问题,也就是当外部文档被检索、拼接并送入大模型上下文时,数据就不再只是被动的信息来源,它可能变成一段能够影响模型行为的代码 详细可以
阅读全文