工具 | AlliN

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介AlliN是一个辅助渗透测试项目或者攻防项目快速打点的综合工具。0x

VPN漏洞频发，威努特零信任如何守护企业数字边界？

01企业安全痛点：传统 VPN 的 “致命伤”在数字化浪潮里，企业对远程接入需求与日俱增，传统 VPN 作为远程访问 “标配”，却成安全重灾区。2023年7月，Fortinet 旗下 FortiGat

SQL 注入检测关键词

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息

“老地图”引发新问题

涉密地图涵盖敏感地理数据、军事设施分布、关键基础设施坐标等敏感重要信息，一旦泄露可能危害国家安全。近期，国家安全机关查获多起违规使用涉密地图的典型案件。“老地图”失泄密敲响警钟——违规售卖“老地图”。

一款专为开发者和安全审计人员设计的代码安全扫描工具

免责声明本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵

拒绝信息差，全网最全渗透测试靶场推荐【2026最新版】

继上一篇 2025最新渗透测试靶场推荐注：转载请注明原文地址这次又新增了7个常用的靶场平台，比如burpsuite靶场，lingjing靶场，the hacker labs等等，包括web渗透，src

华为重夺中国手机市场第一名！苹果依靠“牙膏挤爆”稳居第二

自从华为受制裁之后，从2021年开始到2025年，中国手机市场的第一名基本都被vivo焊死，只有2023年是苹果位居榜首。而华为熬过了这五年“寒冬”期后，也终于在麒麟回归两年多后迎来了收成期！当然，华

APT | “金眼狗”组织水坑网站攻击活动

概述“金眼狗”是一个东南亚方向的，从事博彩、狗推相关人员以及海外华人群体的黑客团伙，其业务范围涵盖远控、挖矿、DDoS攻击等。该团伙通过部署爱思助手、快连VPN、QuickQ等仿冒网站，使用SEO排名

【漏洞通告】Apache Struts XML外部实体注入漏洞（CVE-2025-68493）

漏洞名称：Apache Struts XML外部实体注入漏洞(CVE-2025-68493)组件名称：Apache-Struts影响范围：2.0.0 ≤ Apache Struts ≤ 2.3.372

微软补丁日安全通告|1月份

2026年1月14日（北京时间），微软发布了2026年 1月安全更新，共发布了115个CVE的补丁程序，比上月增多了45个。在漏洞安全等级方面，存在8个标记等级为“Critical”的漏洞，57个漏洞

网络安全信息与动态周报2026年第2期（1月5日-1月11日）

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威

【安全圈】河南省考报名系统高峰时段崩溃

关键词服务器崩溃 全球社交平台 X 昨晚遭遇大规模宕机，根据网络中断追踪网站Downdetector.com统计，数以万计的用户无法登录，所幸目前情况已趋于缓和。这波宕机高峰出现在美东时间上午 9 点

【安全圈】男子 3 个月内 25 次入侵美国最高法院电子文件系统，将出庭认罪

关键词黑客 据 TechCrunch 报道，美国田纳西州斯普林菲尔德市一名居民，预计将承认在几个月内数十次入侵美国最高法院的电子文件提交系统。据一份法庭文件显示，检察官指控 24 岁的尼古拉斯・穆尔（

【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用

关键词漏洞 微软在2026年1月13日的"补丁星期二"更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。该漏洞编号为CVE-2026-208

【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥

关键词恶意程序 网络安全研究人员近日披露了一款恶意Google Chrome扩展程序的详细信息。该扩展程序伪装成自动化交易工具，专门窃取与MEXC交易所相关的API密钥。MEXC是一家业务覆盖170多

直面AI安全挑战：新时代系统合规的解决方案

随着江苏省《“人工智能+”行动方案》的全面启动，各大行业正以前所未有的力度拥抱AI。方案明确提出，到2027年，新一代智能终端、智能体等应用普及率要达到70%以上；到2030年，产业规模要超万亿元。智

朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

Part01内鬼威胁的演变近年来，网络安全格局发生了根本性转变，内部威胁的定义不断演进。过去数十年间，企业安全工作的重点一直是防范心怀不满的员工或疏忽大意的承包商泄露敏感数据。而如今，最具危害性的内部

黑客利用"浏览器套浏览器"技术窃取Facebook用户登录凭证

Facebook用户正日益成为一类能绕过常规安全措施的复杂钓鱼技术的攻击目标。作为拥有超过30亿活跃用户的平台，Facebook对企图入侵账户、窃取个人凭证的攻击者极具吸引力。这类攻击的主要目的十分明

伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序

网络安全公司CloudSEK披露，与伊朗有关联的高级持续性威胁组织MuddyWater近期在针对以色列和中东其他国家的间谍活动中，部署了基于Rust语言的恶意植入程序。Part01RustyWater

恶意Chrome扩展窃取钱包登录凭证并实施自动化交易

一款名为 MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新

Nessus插件开发实战：从零开始编写高效漏洞扫描脚本

网安引领时代，弥天点亮未来 0x00前言描述需要寻找一个能长期维护自己编写POC的框架，要求具备端口扫描、服务识别、指纹探测和POC扫描功能。尝试过不少免费框架，但都不太理想：要么存在较多BU

ιldb 脚本 —— 你才叫 lldb，我叫 "约塔 ldb"

概述ιldb 是一个基于 LLDB 的调试脚本工具，提供了多种便捷的调试命令和命令管理功能。它通过模块化设计，将常用的调试操作封装为简单易用的命令，并支持命令的保存、显示、删除和执行。如果这些命令的命

周五20点直播 | 想挖IoT漏洞？这个Tenda 0day案例你不能错过

﹀﹀﹀

恶意Chrome扩展伪装交易工具窃取MEXC交易所API密钥

网络安全研究员近日披露了一款恶意的Google Chrome扩展程序，该扩展程序伪装成一种自动化交易工具，专门窃取与全球性加密货币交易所MEXC关联的API密钥。MEXC是一家业务覆盖超过170个国家

【高危漏洞预警】Appsmith Origin验证漏洞(CVE-2026-22794)

漏洞描述:Aррѕmith是一个用于构建管理面板、内部工具和仪表板的平台,在1.93版本之前服务器会将请求头中的Oriɡin 值作为电子邮件链接的 bаѕеUrl,且未进行验证如果攻击者控制了Oriɡ

一篇易懂的CAN错误帧指南

点击上方蓝字谈思实验室获取更多汽车网络安全资讯CAN帧类型中，错误帧可能会经常听到，但又非常陌生。就我做多年软件开发经历，看到过位填充错误，但也没有去分析或解决过错误帧的案例。如果提到Bus off，

从低空到太空：中科数测研究院发现空间通信核心漏洞——直指 NASA 航天加密体系底层安全

点击上方蓝字谈思实验室获取更多汽车网络安全资讯当商业航天与卫星互联网以 “天基基建” 的身份锚定国家战略，空间系统的安全防线，正在成为大国竞争的隐秘战场。近日，中科数测研究院发现空间通信核心漏洞：直指

附PPT下载 | 谈思AutoSec新春沙龙火山引擎：汽车行业跨境出海合规实践及解决方案分享

点击上方蓝字谈思实验室获取更多汽车网络安全资讯1月7日，由谈思汽车及德勤中国联合主办的“汽车AI安全与出海合规专题沙龙”在上海圆满落幕。这场开年活动直击产业核心痛点，锚定前沿技术落地应用，与行业伙伴共

查找摄像头漏洞，黑客只需要一步

【免费领】社会工程之网络钓鱼攻击防范指南

点击蓝字/关注我们今日福利安全大佬防范钓鱼攻击经验干货大量真实案例，展示钓鱼攻击的各种手段详解钓鱼攻击中的心理学和技术工具限时福利，请及时领取哦 ~该资料内容较多，以下为节选的部分目录：长按识别下方二