热爱为缰，策马扬鞭 | 巅峰精英集结，下一站：马来西亚！

随着 SRC 年度榜单的公布各位白帽师傅期待已久的年终颁奖终于要来啦360SRC将携手精英研究员们共同开启一场海外游学之旅2026.1.13～1.18我们一起玩转马来西亚！PART.01洞见山海 从红

获取目标Telegram的真实IP

来源x上GangExposed_RU和0x6rss用户分享的内容，通过目标用户的1次点击来获取到目标的真实IP地址，利用Telegram内置的便捷代理配置功能，构造一个特殊的t.me链接，当用

【高危漏洞预警】WeKnora命令注入漏洞CVE-2026-22688

漏洞描述:WеKnоrа是一个基于大语言模型的框架,旨在实现深度文档理解与语义检索,在0.2.5版本之前存在一个命令注入漏洞允许经过身份验证的用户将ѕtdiо_соnfiɡ.соmmаnd/аrɡѕ注

【敬请期待】记下来会更新几期常见的人性漏洞有哪些

1】在职场上如何发现一家企业重不重视信息安全，以及一些虚假招聘，违规企业的识别，只需要聊三个方面，就足以试探出这家公司的风格和面目2】HR很擅长心理学有时候，但是安全技术出身的人，如何用一些社工学或者

SecWiki周刊（第619期）

本期关键字：多模态融合、差分隐私联邦学习、前出狩猎网络行动、无人机反制、全流量安全智能体、APT溯源子图学习、大语言模型防御、网络安全奖项、论文拒稿分析、数字安全大事记。2026/01/05-2026

某大学数据泄露：开发阶段的数据安全解决方案

近期，悉尼大学因代码库中遗留的“历史测试数据”被窃取，导致2.75万人个人信息泄露——并非核心系统被攻破，而是开发环节的管理疏忽。开发测试阶段使用真实个人信息，且将其存入代码库，已成为当前数据泄露的典

Windows SEH 结构化异常溢出分析记录

01概念这个部分是最基础的，一切都先从理解SEH结构体开始这个结构体大概如下：struct _EXCEPTION_REGISTRATION_RECORD {struct _EXCEPTION_REGI

游戏工具变后门？InputPlumber高危漏洞曝光，Linux游戏玩家面临劫持风险

近日，一款旨在提升Linux游戏体验的实用工具被曝出存在严重安全漏洞，可能允许本地攻击者劫持用户会话或导致系统崩溃。SUSE安全团队发布报告指出，用于在SteamOS等环境中整合输入设备的工具Inpu

拒绝赎金陷阱！看雪勒索病毒救援：99%数据恢复+全链路溯源+安全加固

如果您发现文件或服务器被加密、业务中断、收到赎金通知——请立即联系我们！7×24 专业团队，15分钟响应，1小时启动现场/远程支援。时间每延迟1分钟，风险和损失都在扩大。免费远程初诊(30分钟)·15

TARA攻击树分析方法论

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01TARA 分析核心定位TARA 分析的核心价值在于帮助开发人员系统性排查目标系统存在的安全问题，并进行妥善处置，其关键优势是 “系统性”，摆脱了对开发

商务部通报中欧电动汽车案磋商进展

点击上方蓝字谈思实验室获取更多汽车网络安全资讯商务部今日通报中欧电动汽车案磋商进展。为落实中欧领导人会晤共识，妥善解决欧盟对华电动汽车案，中欧双方本着相互尊重的态度，进行了多轮磋商。双方一致认为，有必

流控帧发送时机的避坑指南

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01正常测试流程通过30 00流控帧请求，发完全部数据。直接通过30 00流控帧请求，ECU响应全部续帧报文。这种方式是自动化测试中最好实现的，通过判断接

人肉利器？1750万名Instagram用户的姓名电话住址泄露

关注我们带你读懂网络安全Instagram官方否认了数据泄露，称修复了同期造成恐慌的密码重置邮件滥用漏洞；这批数据目前还难以判断来源，有称是攻击者2024年滥用官方API窃取，长期在地下论坛传播，还有

美军网络官员分析进攻性网络行动在未来战争冲突中的作用

编者按美军网络官员德里克·雷撰文，分析俄乌冲突、以哈冲突和以伊冲突中进攻性网络行动运用情况，并总结进攻性网络行动在未来冲突中可能发挥的作用。文章称，上述三场冲突爆发初期都伴随着一系列似乎与现实领域攻击

网安冬令营 | 实战导向，助力成就网安新势力

【免费领】CISSP认证考试权威参考题库（850多道）

点击蓝字/关注我们今日福利网安人升职加薪必备850多道CISSP认证考试权威参考题库助你顺利通过认证考试，走上人生巅峰限时福利，请及时领取哦 ~长按识别下方二维码，回复“0112”，免费领取~（限7

修改了下公众号

增加了几个功能：1.我像是一个nginx ，可以帮你转发你的bp和创业想法到奇绩创坛，奇绩创坛录取后会投资你210万rmb/美元。2.探微杜渐科技在招人，你可以通过下方的方式投递简历。我们招agent

基于JS_HOOK的web流量加解密方案

最近遇到一个web网站，流量是通过js的加密的，于是设计了一套较为通用的流量js hook配置burp的流量加解密方案。方案分为以下几个部分:•加密函数的参数和返回值记录•解密函数的的参数和返回值记录

撕开edu防线：前端的一次密码判断到3个高危漏洞

一、任意文件下载在一次在 edu 网站逛街时，偶然发现了这个页面，呕吼，没见过诶，果断上网查一查。搜着搜着偶然看到一个链接，任意文件下载？我们直接去构造请求包，竟然直接成功啦 ，怎么这么轻松？本来打算

安全热点周报：D-Link 老旧 DSL 路由器曝新漏洞，正遭黑客活跃攻击

安全资讯导视 • 工信部等八部门联合印发《“人工智能+制造”专项行动实施意见》• 美军利用网络战和情报等能力支持抓捕马杜罗的军事行动• 罗马尼亚火电龙头企业遭勒索软件攻击，IT基础设施全部瘫痪PART

海康安防后渗透利用分析

前言在近期的一场市政攻防演练中，海康威视综合安防系统作为高价值资产，成为了众人的重点关注对象。我有幸在实战中拿下了这样一个目标。这里总结了海康综合安防系统的得分点和攻击技巧，以备后用。Getshell

【已复现】腾讯 WeKnora MCP服务命令注入漏洞(CVE-2026-22688)

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称腾讯 WeKnora MCP服务命令注入漏洞漏洞编号CVE-2026-22688公开时

安全简讯（2026.01.12）

1. Instagram密码重置事件引数据泄露担忧1月11日，全球多地Instagram用户陆续收到看似来自官方邮箱的意外密码重置邮件，引发大规模数据泄露担忧。此次事件涉及超百万用户，网络安全公司Ma

【漏洞通告】Apache Struts XWork 组件 XXE 漏洞(CVE-2025-68493)

一、漏洞概述漏洞名称Apache Struts XWork 组件 XXE 漏洞CVE IDCVE-2025-68493漏洞类型XXE发现时间2026-1-12漏洞评分9.8漏洞等级严重攻击向量网络

CNVD漏洞周报2026年第1期

2026年01月05日-2026年01月11日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞677个，其中高危漏洞3

上周关注度较高的产品安全漏洞(20260105-20260111)

一、境外厂商产品漏洞1、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-00689）Adobe Experience Manager（AEM）是美国奥多比（Adobe

注意升级|Struts2曝高危漏洞S2-069（CVE-2025-68493）

点击蓝字 关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权

【红队思路】钓鱼场景下绕过杀软权限维持

0x01 声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担！！！0x02 效果演示实现代码及其思路已同步圈子！0x03 红蓝

我是如何删除应用中任意我想要的用户账户的

官网：http://securitytech.cc/嗨，今天我将讲述我是如何发现一个漏洞，它允许我删除应用中任何我想删除的用户。这个想法本身很简单，但它的影响力一点都不简单 :)顺便说一句，我是在大学

Nu1L Team × 阿里CTF 2026

阿里CTF 2026将于1月31日10点开赛，Nu1L Team将作为唯一技术支持，同阿里云安全保障团队一起打造此次高质量赛事。为保证赛事公平及建立良好比赛氛围，Nu1L Team本身及本次大赛出题成