Grafana修复CVSS 10.0分高危漏洞:SCIM配置缺陷可致权限提升
Grafana近日发布安全更新,修复了一处CVSS 10.0分安全漏洞CVE-2025-41115。该漏洞在特定配置下可能引发权限提升或用户身份冒充风险。Part01技术详情该漏洞编号为CVE-202
阅读全文0x2F服务是怎么强控ECU的?
点击上方蓝字谈思实验室获取更多汽车网络安全资讯010x2F服务基础0x2F InputOutputControlByIdentifier服务——按DID控制输入输出,是诊断仪对ECU的“霸总行为”,主
阅读全文对称加密和非对称加密算法对比
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01什么是对称加密对称加密是一种加密类型,在加密和解密数据时使用相同的密钥。几十年来,这种方法一直是密码学的基础,尤其因其速度和效率而备受推崇。当需要快速
阅读全文SQL注入绕过WAF的方法,找到了!
d0ublewei 来啦!太忙了,断更许久,很多师傅催更,来一期!这次我们聊聊SQL注入时遇到WAF该如何绕过?什么是 WAFWAF(Web Application Firewall)即 Web 应用
阅读全文乱谈西城四中2025级初一期中数学卷
别人发来的,据说是西城四中2025级初一期中数学卷。全卷100+10分,A卷100分,B卷10分,要求100分钟内完成。如图,第26题是A卷压轴题,数轴动点。家长要是脑子不在线,不愿意自己做,可以祭
阅读全文网络安全巨头CrowdStrike解雇向黑客泄露内部系统信息的员工
网络安全巨头CrowdStrike证实,已解雇一名涉嫌向知名攻击者组织泄露内部系统敏感信息的内部人员。内部截图遭Telegram泄露这起事件于周四晚间至周五上午曝光,攻击者组织“Scattered L
阅读全文【反诈宣传】环环相扣,花19元在抖音购买两本书提升口才却被诈骗倾家荡产
环环相扣,花19元在抖音购买两本书提升口才却被诈骗倾家荡产以下内容为粉丝投稿。2025年初,小帅浏览抖音过程中,偶然看到有两本书,可以提升口才,提高情商,他有点心动,书籍价格不贵,两本书一共才19元。
阅读全文Android日志智能化分析系统V3.5
Python逆向分析工具V2.5Android日志智能分析系统V2.0APK/SO文件对齐工具V4.5-Google Play APP上架专用Multi-Platform Root Expert v9
阅读全文CVE-2025-55680:Windows Cloud Files 筛选器驱动程序 cldflt.sys 中存在 LPE 漏洞
威胁简报恶意软件漏洞攻击URLhttps://ssd-disclosure.com/cloud-filter-arbitrary-file-creation-eop-patch-bypass-lpe目
阅读全文AI 时代,高估值即可暴富,谁还需要IPO?
感恩节前的这个周六,先说说本周行业里最热的事:高盛PICC。PICC 永远像是一场在拉斯维加斯上演的48 小时冲刺赛。你能迅速捕捉投资人对今年收官的判断,以及对未来几个月的预期。今年有两个信号格外突出
阅读全文应急篇 | 云原生安全攻防实战
大家好,我是Bypass,一个专注于安全攻防的技术博主。 经常会有小伙伴问我:"你会K8s嘛?" 或者"K8s安全事件要怎么处理?" 这些问题的背后,其实都指向了一个核心问题:随着容器和K8s技术的广
阅读全文挖掘xss中括号被转义的绕过措施
0x00 前言注:本文给出的绕过措施是一个替代方案。0x01 正文首先我想问读者朋友们一个问题:在挖掘xss时是否遇到过转义括号的问题?我相信不少朋友遇到过,例如我这里拿不久前保安姐发的那篇文章的案例
阅读全文一文掌握APP渗透测试标准化流程Checklist
在移动互联网时代,APP 已经成为人们生活和工作中不可或缺的一部分 。无论是社交娱乐、金融支付,还是办公学习,各类 APP 为我们提供了极大的便利。然而,随着 APP 的广泛应用,其安全问题也日益凸
阅读全文论文一直投不中?藏不住了!大牛帮选刊投稿后,被拒的5篇SCI全中了!
说到写论文的辛酸,在座大部分老师或同学都深有体会,常有作者直言“写论文是我这辈子最痛苦的事,没有之一”我查阅后台留言的时候,有一次看到一位博士老师半夜还在“倒苦水”。说自己没日没夜的搞选题、做实验、一
阅读全文【红队】一款资产存活验证工具
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有侵
阅读全文内网横向移动没思路?从突破隔离到核心服务器夺权,全流程拆解 + 避坑要点!
在网络安全防御体系中,内网隔离一直被视为保护核心资产的 “最后一道屏障”。通过物理隔离、逻辑分区、访问控制等手段,企业试图将核心服务器与外网、办公网彻底割裂,抵御外部攻击。但实战中,攻击者往往能通过
阅读全文伊朗黑客如何发动网络物理战?
近日,亚马逊(Amazon)威胁情报团队发布的最新报告揭示了一种全新的网络战争形态:“网络赋能的动能打击”。报告指出,与伊朗有关的黑客组织不再局限于单纯的数据窃取或网络破坏,而是深度介入物理战场的“杀
阅读全文重塑身份安全格局!2026年十大身份威胁预测
基于身份的威胁激增,非人类身份隐藏着巨大的风险,来自AI和内部威胁的风险不断上升……美国身份威胁防护厂商SpyCloud发布了《身份安全清算:2025年教训与2026年预测》报告,概述了可能在来年塑造
阅读全文实战利器 50个渗透攻防命令速查!
一、信息收集与分析1. nmap -sV -O -A -p- 目标IP• 这是一个综合的nmap扫描命令,用于发现目标主机的开放端口、服务版本、操作系统类型以及可能的漏洞。-sV选项用于检测服务版本,
阅读全文一款功能强大的专业暗链扫描工具,专注于检测网站、HTML文件或目录中的隐蔽链接、隐藏元素和恶意代码
工具介绍「渊照」是一款功能强大的专业暗链扫描工具,专注于检测网站、HTML文件或目录中的隐蔽链接、隐藏元素和恶意代码。该工具能够智能识别扫描目标类型(本地文件/目录、内网URL、公网URL),并自动调
阅读全文强烈推荐的一个内部知识库
010x1 公众号简介专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘。不定期分享网络安全领域各种好玩的项目及好用的工具,欢迎关注。#尽在神农Sec感谢🙏师傅
阅读全文一文了解图像的隐形噪声如何欺骗 AI
什么是Adversarial Images(对抗图像)对抗图像是一种精心设计的输入数据,通过对原始图像进行细微修改,使机器学习模型(尤其是深度神经网络)产生错误的分类输出。这些修改通常对人类视觉不可察
阅读全文实测 | 开源工具 CyberStrikeAI 集成外部 MCP,让 AI 渗透测试真正“无限扩展”!
开源工具地址:https://github.com/Ed1s0nZ/CyberStrikeAI在 AI 赋能安全的浪潮中,CyberStrikeAI 不仅仅是一个“能聊天的渗透测试平台”,更是一个真正
阅读全文网安原创文章推荐【2025/11/21】
2025-11-21 微信公众号精选安全技术文章总览洞见网安 2025-11-21 0x1 【附POC及复现环境】飞塔Web防火墙双CVE漏洞链可致RCE(CVE-2025-64446+CVE-2
阅读全文通过414和431状态码利用服务器大小限制将XSS升级为账户接管
引言服务器和人类一样,对单次能处理的数据量有上限。你可能对414和431状态码并不陌生:414状态码——当URL超过服务器定义的限制时返回。431状态码——当请求头超过服务器定义的限制时返回。尽管这些
阅读全文