Spring框架的漏洞扫描及漏洞利用图形化工具 - YYBaby-Spring_Scan

01 项目地址https://github.com/CllmsyK/YYBaby-Spring_Scan02 项目介绍项目描述：一款针对Spring框架的漏洞扫描及漏洞利用图形化工具注：工具仅供安全研

利用幽灵SPN和Kerberos反射提升SMB服务器权限

主要发现即使在应用了 CVE-2025-33073 的修复程序之后，Kerberos 身份验证反射仍可能被滥用以进行远程权限提升。幽灵 SPN（映射到无法解析的主机名的服务主体名称）引入了可被攻击者利

伪造的 Solidity VSCode 扩展程序，针对 Open VSX 后门开发者

一款名为 SleepyDuck 的远程访问木马，伪装成 Open VSX 开源注册表中著名的 Solidity 扩展，利用以太坊智能合约与攻击者建立通信通道。Open VSX 是一个由社区驱动的注册表

【漏洞通告】JumpServer连接令牌验证不当漏洞（CVE-2025-62712）

通告编号:NS-2025-00492025-11-04TAG：JumpServer、Connection Token、CVE-2025-62712漏洞危害：攻击者利用此漏洞，可实现越权访问与权限提升等

网安原创文章推荐【2025/11/3】

2025-11-03 微信公众号精选安全技术文章总览洞见网安 2025-11-03 0x1 Fastjson原生反序列化剑外思归客 2025-11-03 23:09:48 本文深入分析了Fast

绿盟科技第一份额中标2025年中国联通WAF产品集中采购项目

近日，中国联通集团发布2025年Web应用防火墙（WAF）产品集中采购项目中标结果。绿盟科技以第一中标候选人身份成功中标（70%份额）。此次中标，充分彰显了绿盟WAF在应用安全领域的领先地位和产品竞争

360SRC助力 | ADConf 2025「智变·暗涌」全议程上线！

告别被动等待：Phalcon Security 如何将 Web3 安全带入“主动防御”时代

在过去一年里，加密资产的体量持续暴涨，但伴随而来的安全风险也达到了历史新高。仅 2025 年过去的10个月，Web3 领域就遭受了多起毁灭性攻击，资产损失惨重：私钥/密钥管理漏洞： HyperLiqu

记录工作中解决bug用到的逆向知识

问题现象在使用rk3588开发云手机过程中，有部分核心板随机出现hostserver进程占用cpu过高问题。因为golang编译时候去除了调试信息，没有加上pprof，无法看到goroutine的工作

2025天网杯攻防演练：吉利车载系统如何做到全程零失守？

当汽车从“四个轮子”到“四个轮子上的超级计算机“，其承载的不仅是乘客，更是城市互联的神经末梢——个人隐私、交通数据、城市脉络在此交汇。今年9月，由天津市人民政府主办、国家计算机病毒应急处理中心联合多家

你的货物正被远程调包！RMM工具成黑客“隐形方向盘”

近期，网络安全公司Proofpoint发现，黑客正通过恶意邮件与链接，向货运经纪及卡车运输公司发起定向攻击，借远程监控与管理工具（RMM）劫持货物、窃取实物资产。此类攻击自今年1月起活跃，6月以来愈加

别再被 MISC 题目劝退！20小时吃透加密/隐写/取证，竞赛拿分稳了

面对复杂的加密解密、千奇百怪的隐写技术、五花八门的文件格式，是不是常常感到无从下手？别担心，《MISC 从入门到精通全解篇》课程来啦，专为想在 MISC 领域突破的你量身打造！超值价 ¥199本次课

整车CAN网络介绍

点击上方蓝字谈思实验室获取更多汽车网络安全资讯CAN(Controller Area Network)控制器局域网络，CAN网络在早期的整车应用中以BCM(车身控制器)为控制中心，主要是车身零部件(雨

逾百万患者病历数据泄露，医疗软件供应商赔偿超1.37亿元

点击上方蓝字谈思实验室获取更多汽车网络安全资讯11月3日，美国电子健康记录及诊所管理软件供应商NextGen Healthcare近日提出高达1937.5万美元（约合人民币1.37亿元）的和解方案，以

西门子医疗大中华区网络安全官确认「MediSec 大会」分享：医疗器械生命周期安全漏洞管理机遇与挑战

点击上方蓝字谈思实验室获取更多汽车网络安全资讯12月18-19日，由北京市海淀区卫生健康委员会指导，谈思实验室和谈思汽车联合举办的「MediSec 2025中国医疗网络数据安全技术与合规峰会」将在北京

使用朴素贝叶斯识别恶意域名

0.前言在护网的过程中，经常需要反向连接，就有可能连接到域名上，所以可以做一个识别，判断是不是一些APT组织通过一些批量的代码生成的恶意域名1.朴素贝叶斯朴素贝叶斯算法原理：其实朴素贝叶斯方法是一种

【免费领】安全大佬经验成果：MySQL最佳安全配置指导手册

点击蓝字/关注我们今日福利数据库安全专家深入研究编写涵盖MySQL所有安全配置项检测及修复帮助快速部署MySQL、完成安全配置限时福利，请及时领取哦 ~该资料内容较多，以下为节选的部分目录：长按识别下

分享一个白帽挖掘到漏洞的过程

分享一个白帽挖掘到漏洞的过程正文1.信息收集:$ subfinder -d example.com | httpx -o examplesubdomain.txt2.对资产进行存活处理,这里找到一个资

【已复现】NVIDIA Linux GPU Kernel本地提权漏洞（CVE-2025-23280/23330）

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称NVIDIA Linux GPU Kernel Modules 本地提权漏洞漏洞编号C

基于AI辅助的系统安全研究实践

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）一、背 景在系统安全研究领域，尤其是在开源且大规模的环境下，commit通常包含复现路

价值25,000$的UniFi OS前台RCE发现之旅

Introduction 引言During a security assessment for one of our engagements, we identified a critical un

1Day-某UAS企业管理系统存在多处SQL注入漏洞

免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会

关基威胁真实案例！英国供水行业近两年至少遭受了5起网攻事件

关注我们带你读懂网络安全图片来源：Unsplash英国版NIS2指令生效后，近两年英国饮用水供应行业近两年上报了5起网攻事件，首次揭示了该国关基设施面临的日益严重的网络威胁全景。前情回顾·国际水务网络

美国研究团队利用人工智能防御类似“震网”的网络攻击

编者按美国能源部太平洋西北国家实验室（PNNL）和佐治亚理工学院合作成立的网络安全和弹性基础设施研究所（ICARIS）正在合作研究利用人工智能来保护美国关键基础设施免遭网络攻击，包括嵌入关键基础设施网

Android Root Expert v4.5 - 专业多平台提权与刷机工具

鸿蒙APP逆向分析工具和方法鸿蒙(HarmonyOS)APP文件格式解析鸿蒙(HarmonyOS)应用的安全测试方法Android/iOS/鸿蒙系统环境安全检测工具鸿蒙(HarmonyOS Next)

Android Root技术解析：以往到现在的三种主流方案

“在Android安全研究中，Root技术是基础技能。今天来分析三种主流的Root方案：Magisk、APatch和KernelSU，从原理到检测。一、低版本Android Root方式简述传统Roo

安全简讯（2025.11.04）

1. Open VSX令牌泄露引发供应链攻击11月2日，近日，Open VSX注册表因开发者意外泄露访问令牌，导致威胁行为者发起供应链攻击，在公共存储库中发布恶意扩展程序。两周前，Wiz研究人员发现M

【漏洞通告】JumpServer 连接令牌泄露漏洞(CVE-2025-62712)

一、漏洞概述漏洞名称JumpServer 连接令牌泄露漏洞CVE IDCVE-2025-62712漏洞类型权限验证缺失发现时间2025-11-4漏洞评分9.6漏洞等级严重攻击向量网络所需权限低利用

战神榜11月榜单福利继续！现金大奖速来赢取！

0111月战神榜现金福利继续！🏆【TOP3现金奖励】实打实激励月度冠军 现金¥2000！月度亚军 现金¥1000！月度季军 现金¥700！上榜TOP10白帽子均可获得补天新款保温杯*102如何冲击榜单

IoT专项活动|更新活动范围，不限制厂商，加码活动奖励，速速进来看！

IoT专项活动补天活动时间：2025年10月29日-12月29日『 活动A类 』 活动范围：1、网络资产测绘（fofa、hunter）搜索最近30天内存活4000+的设备（最新版固件更新在一年内的海