2026阿里CTF Writeup by Mini-Venom

招新小广告CTF组诚招web、re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 admin@chamd5.org(带上简历和

已有企业收到通知，停用12家网安产品，要求上半年完成替换！

近日，网安圈再次传来重磅消息。据多家权威媒体报道，要求关键基础设施运营者和相关企业在2026年上半年之前，彻底停止使用主要来自美国和以色列的网络安全软件产品。这不仅仅是一次简单的采购调整，更是中国网络

fuzzDicts - Web 渗透 Fuzz 字典「一条龙」从uname->passwd

一个仓库覆盖 参数、XSS、用户名、密码、目录、SQL、SSRF、XXE、CTF、API、路由器、文件后缀、JS、子域名 等 15+ 场景 累计 50w+ 行高质量 Payload，不定期更新，使用前

漏洞预警 | vm2沙箱逃逸漏洞

0x00 漏洞编号CVE-2026-227090x01 危险等级高危0x02 漏洞概述vm2是一个可以运行不可信代码的Node.js沙箱，可以防止不可信代码访问系统资源或外部数据。0x03 漏洞详情C

漏洞预警 | 东胜物流软件SQL注入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。0x03 漏洞详情漏洞类型：SQ

漏洞预警 | 金和OA XXE漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电

工具 | ShiroExploit

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介ShiroExploit是一款Shiro反序列化综合利用工具。0x0

欧洲多国电力系统连遭网络攻击：威胁升级与应对之道

近期，欧洲多国电力基础设施遭遇了一系列网络攻击，西班牙、波兰、罗马尼亚先后成为攻击目标，包括传统化石能源及新能源基础设施，OT系统与IT系统均遭到破坏，造成大规模数据泄露，甚至险些引发大面积停电事件。

【漏洞挖掘】JS敏感信息泄露导致的系统沦陷

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息

我如何在 LA-Studio Element Kit for Elementor 1.5.6.3 中发现“创建管理员”的后门

官网：http://securitytech.cc在犹豫了一阵之后，我终于决定分享我最近的一个发现 —— 一个潜藏着极其可怕后果的漏洞：LA-Studio Element Kit for Elemen

公民数据安全防护全攻略

科技革命的浪潮正以前所未有的速度席卷全球。人工智能、大数据、物联网、大模型等前沿科技，正在深刻改变我们的生活方式、生产方式乃至国家治理体系。然而，在创新的璀璨光芒背后，也潜藏着一个重要风险——数据泄露

今日立春

转载请注明来源国家安全部微信公众号

针对Nacos漏洞猎杀的各种骚姿势

扫码加圈子获内部资料专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢

一款能够自动化过滤扫描结果的目录扫描工具

免责声明本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵

Cache Deception + CSPT：从“无影响”到账号接管的漏洞链

原文链接作者https://zere.es/posts/cache-deception-cspt-account-takeover/Jorge Cerezo Dacosta最近在审计某个私有 Bug

渗透测试fuzz参数拿下网站管理员权限

找到一个资产，但是没有收集到账号密码。开启抓包会报错400发现修改cookie中的一个参数xxx改成任意参数名就可以绕过因为网站用的是vue，所以可以直接通过路由守卫绕过，访问前端页面测试未授权接口后

宣传一下

据freebuf官方通知，知识大陆帮会的永久卡将退出历史舞台，现在价格已不可变动当然，我这边也没有提前进行涨价，优惠也将继续，需要加入的师傅抓住最后机会：下文为圈子详情/doge···········

绿盟89900+漏洞POC信息库爬虫，一键获取漏洞信息

之前写的漏洞信息库爬虫，现在分享出来，助力大家挖洞自由。自己替换Cookie以及Token即可。运行效果图如下：速率我调整的比较慢，可以自行修改代码控制速率，请求频繁会自动重试，最后将漏洞信息保存到本

巴黎萨克雷大学 | 基于源的入侵检测系统的综合分析

原文标题：Sometimes Simpler is Better: A Comprehensive Analysis of State-of-the-Art Provenance-Based Intr

每日课程更新

#我的2025公众号总结

2025年小谢取证创作回顾

小谢取证2025年创作回顾，谢谢大家一直以来的支持，2026年继续给大家带来电子数据取证干货。

【马年礼盒】2025您的年终荣耀请签收！

马跃新程福满乾坤年终用户答谢开始啦！致每一位尊敬的安全研究员：过去的一年漏洞被发现、被修复风险被预警、被拦截在每一次安全的背后都有你们的身影——无论是坚守一线发现隐患的白帽精英还是积极分享经验、传播安

APK智能安全分析工具V5.2

智能分析产品(28款神器)Android逆向技能树(2026版)鸿蒙HarmonyOS应用逆向技能树(2026版)Android开发智能调试分析软件V7.5链接: https://pan.baidu.

MonkeyCode 已内置 GLM-4.7，可无限免费使用

如果你最近在关注 AI 编程工具，大概率已经被各种“强大”“颠覆”“解放生产力”的宣传刷过屏。但真正用下来，很多人都会遇到一个现实问题： 好用的模型要钱，免费的模型不敢用；能写 Demo，但进不了真实

【安全圈】黑客放出新变种病毒针对fnOS升级！官方紧急通告

关键词黑客日前，飞牛fnOS被曝出现重大安全漏洞引发业内和用户关注。今日，飞牛安全应急响应团队发布紧急安全通告，称昨日发布1.1.18安全更新后，大规模入侵行为已初步遏制。但攻击者针对OTA升级机制进

【安全圈】海康威视修复DS-3WAP无线接入点命令注入漏洞（CVE-2026-0709）

关键词漏洞海康威视已为其无线接入点（AP）产品线发布关键固件更新，修复了一个可能允许攻击者从内部劫持设备的高危漏洞。该漏洞编号为CVE-2026-0709，CVSS评分为7.2分，对依赖这些设备的企业

【安全圈】违法违规收集使用个人信息问题，72 款移动应用被通报

关键词违规收集个人信息国家网络安全通报中心 2 月 3 日消息，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展 2025 年个人信息保护

GMSL/LVDS与车载以太网

点击上方蓝字谈思实验室获取更多汽车网络安全资讯目前高级辅助驾驶ADAS传输数字视频主要采用以下几种技术相结合的方式‌LVDS (低压差分信号) 物理层传输：摄像头模组（尤其是环视、后视等近距离高分辨率

“数聚车联，智领新程”上海市车联网产业年会暨第三届“金灵光杯”中国互联网创新大赛车联网专题赛启动仪式成功举办！

点击上方蓝字谈思实验室获取更多汽车网络安全资讯1月30日，“数聚车联，智领新程”上海市车联网产业年会暨第三届“金灵光杯”中国互联网创新大赛车联网专题赛启动仪式在上海举办。为进一步展示交流上海车联网产业