代码审计系列-实战篇-MCMS系统

本篇为JAVA代码审计系列实战篇-MCMS系统第二篇，看完本篇你将掌握关于企业级Web项目视角漏洞0day漏洞挖掘过程，本次挖掘2个Xss 0day漏洞，编号：CVE-2025-60837(已公开)、

AI安全的病根：OODA循环

在空战格斗中，有一个经典概念叫“OODA循环”（OODA Loop）。这个由美国空军上校约翰·博伊德（John Boyd）提出的决策框架——观察（Observe）、调整（Orient）、决策（Deci

周刊 I 网安大事回顾（2025.10.20—2025.10.26）

●政策法规：网络靶场|基于网络靶场构建APT攻防研究新范式；《个人信息出境认证办法》公布完成数据跨境制度体系新拼图……● 热点新闻：70万台BIND9解析器暴露在外；黑客利用 SharePoint 漏

网络安全法修正草案即将二审，拟从四方面作主要修改

10月27日，星期一，您好！中科汇能与您分享信息安全快讯：01TikTok Shop跨境电商公布“假App”“代运营”欺诈典型案例近日，TikTok Shop跨境电商公布两起冒充平台的诈骗案件，揭露“

从上周的 WSUS 远程代码执行谈 .NET 反序列化漏洞

Windows Server Update Services作为微软推出的企业级补丁管理核心工具，承担着为 Windows Server 2016/2019/2022/2025 及 Windows 1

.NET内网实战： 通过 FileSecurity 获取目录及文件控制列表和规则

在上一节，我们深入探讨了 Windows 文件权限的理论基础：访问控制列表和 访问控制项，并了解了 BUILTIN\Users、Everyone 和 Authenticated Users 这些内置账

.NET 实战攻防电子报刊，从内网基础到高阶实战！

在当今这个信息化高度发达的时代，企业的网络环境已经与过去完全不同。二十年前，企业内网可能只是一些简单的办公网络，几台服务器承担着文件共享和邮件收发的任务；而如今，企业的内网往往是一个错综复杂的生态系统

安卓逆向 -- 某影视pro的奖励算法分析

前言:教程中的软件版本是最新的,从2.7.9开始到3.4.2版本算法没变软件有签名校验,本期只对算法进行分析校验自行研究破解的是mpv播放和弹幕搜索功能思路:这个软件看完广告之后会获得8小时的解锁功能

红米K90销量不及预期？可见降价之举实属无奈

虽然红米官方的首销战报没等到，但第三方数据却已经出炉了，其中K90销量果然不及预期——同期仅为前代的92%而已！反倒是K90 PM卖爆了，销量较前代同期直接增长了20%！这就很尴尬了，以前的出货主力标

告别终端安全盲区！MVS终端漏洞检测系统安卓版正式开放试用

点击上方蓝字关注我们随着移动智能终端广泛应用于政企办公、工业控制、车联网及金融服务等关键领域，系统漏洞已成为影响终端设备安全的核心隐患之一。对国家合规的挑战：《网络安全法》、工信部手机“入网检测”安全

网安原创文章推荐【2025/10/26】

2025-10-26 微信公众号精选安全技术文章总览洞见网安 2025-10-26 0x1 一次完整的 jadx + Frida 联合分析实战：从反编译到Hook 脚本格格巫和蓝精灵 2025-1

2025世界青科会|范渊启动AI星火计划 ，托举全球青年科学家科研“最初一公里”

2025青科会10月24-26日，2025世界青年科学家峰会（以下简称“青科会”）在浙江温州隆重举行。25日，青科会举行全体大会。中国科协党组副书记、副主席冯身洪，浙江省委副书记王成，欧洲科学院（Ac

自动化信息收集 -- appsx（10月26日更新）

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负

俄罗斯要求苹果设备默认预装本地搜索引擎 否则将面临处罚|DNS0.EU宣布停运，欧洲再失一项独立公共DNS

关键词iPhone俄罗斯联邦反垄断局（FAS）近日向苹果公司下达命令，要求其在所有在俄罗斯及欧亚经济联盟（EAEU）地区销售的苹果设备上，默认设置俄罗斯搜索引擎（如 Yandex 或 Mail.ru）

Windows10停服：一场蓄谋已久的网络安全灾难

Windows10的“停服”，让全球近半数Windows用户陷入恐慌。微软的决定很可能引发一场堪比“永恒之蓝”的网络安全灾难和一场规模空前的电子垃圾生态灾难。2025年10月，微软宣布将正式终止对Wi

OpenAI安全护栏破绽百出，简单提示注入即可绕过

OpenAI最新推出的Guardrails安全护栏旨在通过检测有害行为来增强AI安全性，但研究人员已利用基本提示注入方法迅速攻破该系统。该框架于2025年10月6日发布，采用大语言模型（LLM）来评估

【高危漏洞预警】用友U8Cloud pubsmsservlet远程代码执行漏洞

漏洞描述:该漏洞存在于U8Clоud所有版本提供的рubѕmѕѕеrvlеt接口,服务端对接收的数据进行反序列化操作时未对数据进行有效的校验,导致攻击者可发送精心构造的恶意序列化对象在服务端执行任意静

安全岗位内推

可内推以下四个岗位：岗位1：阿里云智能——边界防御专家岗位2：米哈游——资深安全攻防专家岗位3：米哈游——办公反入侵专家岗位4：米哈游——资深应用安全工程师岗位详情如下↓↓↓招聘岗位1：阿里云智能——

面对《人工智能安全治理框架》2.0版要求，如何筑牢政务大模型的“内容与数据”安全防线？

近期，以“让AI更安全，让安全更AI”为主题的国家网络安全宣传周人工智能安全治理分论坛在云南昆明举行。会上，国家工业信息安全发展研究中心总工程师张格掷地有声地指出：“要从源头到终端全面筑牢政务大模型的

常见网络安全设备弱口令(默认口令) 账号+弱口令密码

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈

Hook前端加密库CryptoJS && JSEncrypt RSA

正文目前我已经完善了Hook CryptoJS的脚本，新增对该库中的所有哈希以及HMAC算法进行hook，所以从客观来说，本脚本目前已经涵盖了CryptoJS库中的大部分加密算法，下面是效果：测试地址

十五年回望：筑一道安全的围墙，不如点亮一盏“安全感”的灯

几周前，我发表了《运用行为科学构建更坚固的防御体系》一文。之后，有位读者主动联系我，称布鲁斯・施奈尔（Bruce Schneier）多年前曾就高度相似的主题做过一次演讲。我对此颇感兴趣，于是四处搜寻，

席位有限！2026首站，泰国｜加入Cybersec Asia，把握东南亚AI+安全无限可能

CYBERSEC ASIACYBERSEC ASIA是经验丰富的网络安全专家和新一代初创企业与同行分享知识、共同应对网络安全挑战的平台。各行各业的企业和机构将学习如何提高网络复原力和保护其核心。CYB

一款高价值漏洞情报爬取工具

简介一款漏洞情报拉取工具（漏洞信息覆盖不全），用于高价值漏洞采集，不留存漏洞信息，每次都会重新爬取，包括奇安信 CERT、ThreatBook、OSCS等平台的公开漏洞信息，支持根据日期和漏洞名称进行

很严重了，大家别轻易离职

这两年，越来越多程序员一头扎进 “技术变现” 的浪潮，可真正赚到钱的却没几个。接外包开发项目不仅要和无数同行比价，还得反复修改；做技术咨询又受限于自身擅长的领域，很难拓展更多客户。其实，还有一条被很多

给你也没用

论文一直投不中？保姆级SCI全程投稿发表服务来了！润色、选刊、投稿、返修，直至中刊！

说到写论文的辛酸，在座大部分老师或同学都深有体会，常有作者直言“写论文是我这辈子最痛苦的事，没有之一”我查阅后台留言的时候，有一次看到一位博士老师半夜还在“倒苦水”。说自己没日没夜的搞选题、做实验、一

redis弱口令到横向渗透初探

师傅们！一个新方向爆了，80k很稳！

这两年，越来越多程序员一头扎进 “技术变现” 的浪潮，可真正赚到钱的却没几个。接外包开发项目不仅要和无数同行比价，还得反复修改；做技术咨询又受限于自身擅长的领域，很难拓展更多客户。其实，还有一条被很多

edu漏洞挖掘实战：三个典型案例的思路分享

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立