漏洞预警 | 天锐绿盾审批系统SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述天锐绿盾审批系统是一款专注于企业数据安全与合规管理的智能审批平台,深度融合文档加密、权限管控与流程自动化,为企业提供从文件创建、流转到归档
阅读全文漏洞预警 | 金和OA SQL注入和XXE漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电
阅读全文工具 | QuickRedTools
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介QuickRedTools是一个基于JavaFX开发的快速启动工具。
阅读全文智能体应用实践:自动生成日志范化规则
一前 言在网络安全运维领域,日志数据是威胁检测、行为分析及事件溯源的关键所在。日志数据大多为非结构化、半结构化形式,不同厂家、不同类型的设备日志数据格式迥异,甚至不同版本的设备日志也会存在差异。像日
阅读全文如何高效挖掘越权漏洞
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文“红汞”骗局手法曝光!
国家安全机关工作发现,有不法分子伪造国家安全部等机关单位红头文件,以参与化学品“Sb2O7Hg2”(俗称“红汞”)交易可获利为名,精心编织骗局,诓骗群众钱财。近日,国家安全机关会同相关部门破获一起“红
阅读全文微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文NestJSDevTools存在远程命令执行漏洞CVE-2025-54782 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文SecWiki周刊(第608期)
本期关键字:安全运营、AI增强、生态型平台、混合式团队、主被动结合、Agentic AI、暴露管理、CTEM、微服务蜜罐、数据泄露态势。2025/10/20-2025/10/26。安全技术[比赛] 第
阅读全文【渗透Tips】XXE高效Payload记录
免责声明:由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删
阅读全文网络安全公司想增长?先做 “品类迁徙”:从合规到业务需求,就看这几步(突围系列)
天气很凉了。貌似今年的冬天,来的比往年更早了一些。就如网络安全行业的寒冬,似乎更加猛烈了。那么,如何突围?如何活下去,并获得发展?今天,先谈一下网络安全行业突围的三大迁徙战略(品类迁徙、价值迁徙、能力
阅读全文【高危漏洞预警】Windows Cloud Files Filter Driver权限提升漏洞CVE-2025-55680
漏洞描述:Windоԝѕ云文件迷你筛选器驱动程序中的检查时间使用时间(tосtоu)争用条件允许未经授权的攻击者在本地提升权限攻击场景:攻击者需具备低权限本地用户账户利用Windows云文件迷你筛选器
阅读全文三条命令完成Mac版微信4.0(及以上)双开
2025年10月26日亲测最新版4.1.2.16可用命令如下: 1、复制微信应用: sudo cp -R /Applications/WeChat.app /Applications/WeChat2.
阅读全文请勿轻信低价骗局!Steam假入库灰产陷阱手法剖析
近期,我们监测到一类通过低价出售Steam游戏激活码的恶意攻击活动。攻击者通过伪装官方工具诱导用户执行恶意脚本,进而植入恶意组件并窃取用户信息。 查杀图Steam 是一款游戏整合平台,其平台的部分游戏
阅读全文诚邀渠道合作伙伴共启新征程
随着业务的不断扩展和市场需求的增长,火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划,期待与更多志同道合的伙伴一起把握行业趋势,共同开拓市场潜力,携手共创网络安全的美好未来
阅读全文【安全圈】BreachForums论坛 重新上线无需暗网访问
关键词网络犯罪臭名昭著的网络犯罪论坛 BreachForums 再次出现在网络上,这次通过清网域名提供访问,无需使用 Tor 等特殊工具即可进入。长期以来,该平台一直是数据泄露、黑客工具交易及非法买卖
阅读全文【安全圈】Everest 勒索软件集团称窃取 150 万都柏林机场乘客记录
关键词数据泄露勒索软件组织 Everest 再次在其暗网泄露站点上发布声称的攻击成果,将都柏林机场(Dublin Airport)和阿联酋低成本航空公司 Air Arabia 列为最新受害者。该组织在
阅读全文【安全圈】新型 Python 木马伪装 Minecraft 应用
关键词网络攻击网络安全研究人员近期发现,一款新型远程访问木马(RAT)正在瞄准游戏玩家群体。这款木马由 Python 编写,伪装成名为 “Nursultan Client” 的 Minecraft 应
阅读全文【安全圈】3,000 个 YouTube 视频被曝为恶意软件陷阱
关键词YouTube一个恶意的 YouTube 网络近期被发现大量发布和推广含有恶意软件下载链接的视频,利用这一视频平台的高人气与用户信任进行恶意传播。自 2021 年起,该网络已经发布了超过 3,0
阅读全文JoySafety安全审核大模型重磅更新!提示词注入、多语种、多轮对话检测能力全面加码
为应对大模型安全威胁日益复杂的挑战,继 2025 年 9 月 25 日在京东 JDD 大会首次发布后,JoySafety项目迎来首次重大升级 ——安全审核大模型V2.0 版本正式上线!本次更新聚焦 “
阅读全文微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文阿里云安全携手月之暗面共筑AI基础设施“免疫系统”
有人在用AI重塑生产力,也有人在用AI破解安全防线。当算力成为“新石油”,GPU成为“兵家必争”,一场围绕AI基础设施的攻防战,正从底层资源蔓延至模型心智。在本期《安全记》栏目中,阿里云智能集团云安全
阅读全文朝鲜攻击者组织Lazarus针对无人机行业发起窃密攻击
朝鲜国家背景的黑客组织Lazarus(APT38)近期发起代号"DreamJob"的网络间谍行动,专门针对欧洲无人机技术研发企业。自2025年3月下旬起,攻击者已成功入侵中欧和东南欧地区三家国防相关机
阅读全文Pwn2Own大赛:黑客利用73个0Day漏洞斩获102万美元奖金
近日,Pwn2Own爱尔兰站2025赛事圆满落幕。研究人员通过在不同设备中发现73个独特的0Day漏洞展现了他们的技术实力。本次由Zero Day Initiative(ZDI)主办的比赛共发放高达1
阅读全文鹏城实验室-中山大学 | 郭得科&谢国锐老师博士招生信息
一、导师介绍郭得科中山大学二级教授、博士生导师,主要研究方向包括算力网、网络计算与系统、分布式计算与系统、网络空间安全等,主持2项NSFC联合基金重点项目、2项NSFC面上项目、1项青年973项目课题
阅读全文平淡无奇却暗藏危机:一份关于15个常被忽视的网络安全盲点的指南
大多数企业安全负责人日夜担忧的是那些罕见的零日漏洞,殊不知,真正的威胁往往隐藏在一些平凡得令人忽视的角落:一个微小的配置错误、一个被遗忘的默认设置、一个无人注意的悄无声息的偏差。这些看似不起眼的问题,
阅读全文Vmprotect2.12.3分析之虚拟机流程
终于到了分析用delphi语言编写的vmp保护接近最后一个版本了,delphi时代最后的狂欢了,我说的不知道有没有问题,但是我想表达的就是这个意思,这个版本可能是2.x的网上可以找到的最后一个版本了,
阅读全文芯片安全设计及应用技术研讨会上海站--“破局芯片安全:技术 · 标准 · 产业”
随着数字化进程加速,芯片安全已成为信息产业发展的基石。本次研讨会聚焦芯片安全前沿技术与应用实践,汇聚行业权威机构与领先企业,共同探讨安全挑战与创新路径。会议特邀纽创信安带来《真实世界的芯片后门》等核心
阅读全文勒索软件团伙Safepay声称入侵监控服务商Xortec
近日,勒索软件团伙Safepay公开宣称已入侵德国专业视频监控提供商Xortec,并将该公司列入其数据泄露网站,设定的赎金支付截止日期为2025年10月27日。总部位于法兰克福、在德国多地设有办事处的
阅读全文