针对本地MCP的攻击：通过DNS重绑定绕过CORS-PNA机制限制

点击蓝字 关注我们一 前言随着大语言模型的飞速发展，Model Context Protocol (MCP) 以其强大的资源连接与工具调用能力，正迅速成为构建下一代AI应用的关键基础设施。无论是数

TechWorld黑客马拉松SHOW——安全创想：《2001太空漫游》到 绿盟网闸设备AI智能体

一. 前言还记得《2001太空漫游》——那部穿越时空的科幻经典吗？在个人电脑尚未普及、互联网还只是实验室概念的年代，影片中那些平板电脑、视频通讯、空间站，以及那个声音冷静、逻辑缜密的人工智能HAL

解雇、取消年终奖！理想针对起火批量质量事故进行内部问责，处理14人

点击上方蓝字谈思实验室获取更多汽车网络安全资讯11月14日，理想汽车就此前“部分2024款MEGA车辆出现冷却液渗漏批量质量事故”“2025款L系列部分车辆下摆臂衬套异响批量质量事故”发布了两则处理公

AUTOSAR实战篇：如何排查CAN网络疑难问题？

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01问题背景在AUTOSAR CAN通信开发的过程中，我们会经常碰到如下几类较为棘手的问题：CAN总线存在诸多stuff error的错误，无法直观的找到

【杂谈】默认配置的安全很重要

长话短说就是以为腾讯云ssh默认配置是root不能ssh登录的，所以就设置了简单的密码，因为博主旧云服务器就是这样的（话说大多数Linux默认都是这样的吧，我还记得以前开kali的ssh得修改配置让r

潮启移动端安全管控平台升级啦

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！引言各位小伙伴们，经过团队成员的

记一次postgres注入绕过waf

在授权测试某 APP 时，发现一处未授权 sql 注入，但是存在 waf，于是开始了绕 waf 之旅。APP 非开放注册，安装后需使用 OA 用户名、邮箱密码进行登录。但是俺没有测试账号，只能先简单装

功能更新：WebFuzzer 组并发，一键多包齐发！

多标签一键调度：把需要的 webfuzzer 数据包全部加入同一个组里，启动和停止都只需一次点击。原配置保持不变: 原始请求包的各种配置、提取器、变量继承、热加载等特性全部沿用，组只是额外的调度层。组

安全简讯（2025.11.14）

1. Synnovis遭麒麟勒索软件攻击致NHS患者数据泄露11月12日，英国病理服务提供商Synnovis于2024年6月遭受麒麟勒索软件团伙攻击，导致部分患者数据被盗，涉及NHS号码、姓名、出生日

跟<大语言模型梯度>说哈喽

大语言模型安全，作为一个新兴的安全研究方向，存在太多的知识点和实践内容。因此持续通过文字和视频记录，以强化学习过程。大语言模型的梯度反演攻击实践，可以查阅这篇文章。Vedio 1 >> 关于梯度是什么

【火绒安全周报】国安部：当心老旧设备/黑客窃取百万患者医疗记录

黑客窃取百万患者医疗记录医疗技术公司Doctor Alliance遭勒索攻击，黑客窃取超120万条患者医疗记录，并威胁不支付赎金就公开数据。失窃信息包含诊断结果、处方、住址、医保编号等高度敏感内容。此

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

快速语音克隆和情感控制-indexTTS2部署笔记

防走失：https://gugesay.com/archives/5021先说结论，B站出的这个开源语音大模型比阿里的RosyVoice效果要好很多，基本属于“天壤之别”了。安装git-lfsbrew

财务与内部通信全泄露：RansomHouse团伙出手，意大利纺织巨头Fulgar遭双重打击

【导读】2025年11月14日，一个惯于自我包装的RansomHouse勒索团伙，在其暗网泄露网站上高调宣布，已攻陷意大利纺织业巨头 Fulgar S.p.A.。Fulgar是H&M、阿迪达斯等全球知

警惕！4300余个伪造旅游网站织网，全球酒店住客支付信息遭系统性窃取

今年初以来，一场针对全球酒店行业的大规模、高度组织化的钓鱼攻击行动浮出水面。一个威胁团伙利用高度自动化的钓鱼基础设施，搭建了超过4300个伪装成主流旅游平台的虚假网站，以系统化方式精准窃取酒店住客的信

【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞

TongWeb应用服务器是一款标准、安全、高可用并具丰富功能的企业级应用服务器，为企业级应用提供了便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的易管理等关键支撑。2025年11月，东方通官方

习近平会见泰国国王哇集拉隆功

11月14日上午，国家主席习近平在北京人民大会堂会见来华进行国事访问的泰国国王哇集拉隆功。习近平表示，哇集拉隆功国王将中国作为首个国事访问的大国，成为中泰建交以来首位访华的泰国国王，充分体现了对中泰关

记一次从短信验证码缺陷到发现大量学校管理员弱口令的漏洞

码领资料获网安教程本文由掌控安全学院 - suan_cai_yu 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn ）一、前言 安全领域的“

双11 · 二进制磨剑 全系逆向课程限时特惠

双 11 · 技术人的狂欢季 · 抽奖工作不躺平，技能加满电！一次购齐五门逆向实战课，从入门到高级安全岗位，一站式成长路线。💡 为什么选「二进制磨剑」？• 新视角 · 真对抗：不重复老知识，从最新安

GlassWorm恶意软件卷土重来 三款新VSCode扩展下载量超万次

上月曾入侵OpenVSX与Visual Studio Code应用市场的GlassWorm恶意软件攻击活动再度回归，此次新增三款携带恶意载荷的VSCode扩展，累计下载量已超1万次。GlassWorm

CSTIS：关于防范Morte僵尸网络的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Morte僵尸网络持续活跃，其主要攻击目标为SOHO路由器、物联网（IoT）设备及Oracle WebLogic、WordPre

2025年西方甲方威胁情报现状

本文基于国外一家知名网络威胁情报公司与第三方研究机构合作调研的一份报告整理而成。报告调研对象包括600+位网络安全高管、管理人员和从业者。（受访对象主要是大甲方）所有受访者所在公司员工超过 1000

【校招+社招】中国电信大可实验室招聘全面启动，职等你来！

中国电信大可实验室招聘公告机构简介 中国电信大可实验室是中国电信集团直属分支机构，依托国家级“云网基础设施安全国家工程研究中心”，以中国电信坚实可靠的云网基础设施为载体，承担安全攻防尖端技术研

打造ctf-Pwn自动化利用框架的Pwn灵境

孙老师给我推荐了这个pwn自动化利用框架，同时在作者heimao的pwnpasi(Elf)的基础上，融入了windows(PE)的检测方法，就形成了一套现在的自动化检测WebUI平台系

网管员邂逅境外间谍，窃取、出卖数百份涉密资料！

浙江省公安厅 浙江省总工会关于举办2025年浙江省网络安全行业职业技能竞赛的通知

各市公安局、工会，相关企事业单位：根据公安部、中华全国总工会等部门《关于举办2025年全国行业职业技能竞赛——第二届全国网络安全行业职业技能大赛的通知》和省总工会《关于组织开展2025年省级职工职业技

这个 Google Dorking 技巧能让你拿到 5000 美元赏金 [不夸张]

官网：http://securitytech.cc/缩略图你可能会想，为什么我要讲 Google Dorking（谷歌探索语法），市面上还有 Paramspider、Nuclei、XSS-Strik

谷歌云权威报告发布预测：2026年AI 攻防主导战场，这些威胁必须警惕！

作为关注 AI 与网络安全的从业者，你一定好奇 2026 年的安全战场将发生哪些关键变化。谷歌云联合旗下威胁情报、安全运营等多支核心团队，汇聚数十位专家一线经验，发布《2026 年网络安全预测报告》，

【漏洞通告】东方通应用服务器Tongweb反序列化远程代码执行漏洞

漏洞名称：东方通应用服务器Tongweb反序列化远程代码执行漏洞组件名称：东方通-TongWeb影响范围：7.0.0.0 ≤ TongWeb ≤ 7.0.4.9_M96.1.8.13 ≤ TongWe

【TSRC极客论剑系列沙龙回顾】连接信任，共赴山海

以“破壁”的智慧审视漏洞，以“守护”的执着重塑安全边界。TSRC序言：一场关于安全的“双向奔赴”时序更替，故事常新。2025年，我们与白帽极客的故事，是始于双向奔赴，终于价值创造的一场旅程。我们深知，