漏洞预警 | 用友NC XXE漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产
阅读全文漏洞预警 | 普华PowerPMS信息泄漏漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述普华PowerPMS是上海普华科技自主研发的工程项目管理产品。0x03 漏洞详情漏洞类型:信息泄露影响:获取敏感信息简述:普华PowerP
阅读全文工具 | rce-labs
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介RCE-labs是基于alpine+php7.3的一个RCE命令执行
阅读全文指纹+PoC双杀!查守卫observer_ward热更新军火库,0day发布5分钟进靶标10万站点一夜扫光
⚡ 核心技术# 30 秒看穿一个站observer_ward -t https://example.com输出即答案:中间件、框架、版本、漏洞——全给你标好 CVSS 颜色。🌟 核心亮点能力说明闪电指
阅读全文哈佛大学遭勒索团伙攻击,西班牙时尚品牌客户数据外泄|一周特辑
哈佛大学因甲骨文漏洞遭Clop勒索团伙攻击哈佛大学近期正在调查一起数据泄露事件,起因是Clop勒索软件组织在其泄密网站上列出该校的数据泄露信息并威胁要公开数据。哈佛大学在clop的数据泄露网站上(来源
阅读全文项目推荐 | frida下常用的hook脚本
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文被黑客攻击、数据泄露?这堂安全课,帮你把风险挡在门外
你有没有想过,一次看似不起眼的安全漏洞,能让一家公司瞬间蒸发30亿美元?2017年,美国征信巨头Equifax就栽了这样的跟头。1.45亿用户的隐私信息被泄露,最终赔偿4.25亿美元才平息风波。可事后
阅读全文【高危漏洞预警】Windows Agere调制解调器驱动程序权限提升漏洞CVE-2025-24990
漏洞描述:Windоԝѕ操作系统原生支持的第三方Aɡеrе调制解调器驱动程序存在漏洞,该驱动程序已在10月累积更新中移除攻击场景:攻击者需具备低权限用户身份,通过调用存在缺陷的Agere Modem
阅读全文普华科技-PowerPMS Reg.ashx接口存在SQL注入漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文网安原创文章推荐【2025/10/16】
2025-10-16 微信公众号精选安全技术文章总览洞见网安 2025-10-16 0x1 渗透案例:SNMP配置错误导致容器逃逸与利用openssl的SUID实现权限提升极客零零七 2025-1
阅读全文吴石前辈,这次我们和他一起来看您!
作为国家安全部常态化开展隐蔽战线英烈纪念活动的重要内容,10月17日上午,国家安全部宣传教育局组织国家安全机关干警代表,与《沉默的荣耀》监制、剧中吴石的饰演者于和伟,导演杨亚洲等主创团队和出品方负责人
阅读全文易语言写的银狐黑产组织最新攻击样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。银狐组织是一个专
阅读全文AI | 利用LLM+MCP服务辅助样本分析
MCP(Model Context Protocol,模型上下文协议) 是由 Anthropic 推出的一种开放标准,旨在统一LLM模型与外部数据源和工具之间的通信协议。其要目的在于解决当前AI模型因
阅读全文【安全圈】微软吊销200个伪造证书:Rhysida勒索软件利用假Teams安装包发动攻击
关键词网络攻击微软近日披露,已吊销超过200个被威胁组织“Vanilla Tempest”用于签署恶意程序的伪造数字证书。这些证书被用于伪装成微软 Teams 的安装文件,以传播“Oyster”后门并
阅读全文【安全圈】全球超26.9万台 F5 设备暴露在互联网上,美国风险最大
关键词数据泄露据 The Shadowserver Foundation 公布的最新数据,全球每天约有超过 26.9 万台 F5 网络设备直接暴露在公网之上。其中,美国地区暴露量最高,约有 13.4
阅读全文【安全圈】佛罗里达州起诉 Roku:被指非法出售儿童数据给广告商与数据经纪商
关键词数据泄露佛罗里达州总检察长詹姆斯·乌斯梅耶(James Uthmeier)指控流媒体平台巨头 Roku 在未经家长同意的情况下,非法收集并出售儿童隐私数据给广告商和数据经纪公司。Roku 是美国
阅读全文NSA 后门与比特币:加密标准中的安全隐患分析
NSA 后门与比特币:加密标准中的安全隐患分析引言许多商用加密应用采用的标准算法由美国国家标准与技术研究院(NIST)制定。这些算法源自公共领域,经过密码学家严格审查。尽管政府参与算法开发常引发疑虑
阅读全文习近平致电祝贺阿迪昂当选连任瑙鲁总统
10月17日,国家主席习近平致电戴维·阿迪昂,祝贺他当选连任瑙鲁共和国总统。习近平指出,中瑙复交以来,两国关系长足发展,各领域合作成果惠及两国人民。总统先生领导瑙鲁政府恪守一个中国原则,我对此深表赞赏
阅读全文npm生态系统中存在一个恶意软件包
AdaptixC2 后利用框架的第一个版本于 2025 年初公开发布,该框架可被视为著名的 Cobalt Strike 的替代品。2025 年春季,该框架首次被发现被用于恶意目的。2025年10月,卡
阅读全文Spring 修补了两个关键缺陷
CVE-2025-41253:使用 Spring 表达式语言公开环境变量和系统属性描述以下版本的 Spring Cloud Gateway Server Webflux 可能存在向攻击者暴露环境变量和
阅读全文JSSS-Find V6.5:接口太多测不完?AI帮你判断高危漏洞
扫描器轻松帮你扫出几百个 API 接口,看似省了不少事,新麻烦却跟着来了 —— 满屏 URL 摆在面前,反而像站在信息荒漠里:看着到处是 “井”,却不知道哪口能挖出 “水”(也就是有价值的漏洞)。现在
阅读全文强化安全底座,OPPO 应用生态多维度助力全球开发者高效增长
2025 OPPO开发者大会(ODC25)于10月15日在深圳圆满落幕,在应用生态分论坛上,OPPO正式推出——"OPPO隐私安全智护体系"。该体系通过全新升级的权限管理机制,帮助用户实现隐私的透明可
阅读全文中国金融科技企业遭恶意简历LNK文件攻击,植入ValleyRAT木马
Seqrite实验室研究人员发现一起高度针对性的网络间谍活动,代号"丝绸诱饵行动"(Operation Silk Lure)。攻击者通过恶意简历诱饵和计划任务持久化手段,渗透中国金融科技和加密货币领域
阅读全文Spring两大漏洞曝光,可导致泄露敏感信息及安全防护绕过
VMware Tanzu旗下Spring团队近日发布了两项漏洞修复方案,分别影响Spring Cloud Gateway和Spring Framework。漏洞可能导致攻击者获取敏感环境变量和系统属性
阅读全文汽车行业中的OTA/FOTA/SOTA
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01什么是汽车OTAOTA 即 Over-the-Air Technology,中文称空中下载技术,也可视为一项标准。这里的 “空中” 特指远程无线模式,
阅读全文亨通通信产业研究院副院长确认下周「AES论坛」分享:TSN-PON网络应用场景与发展趋势
点击上方蓝字谈思实验室获取更多汽车网络安全资讯2025年10月23日,谈思汽车将在上海重磅推出 “汽车以太网 × 车载光通信技术论坛”。本次论坛将深度聚焦“以太网+光纤”的技术融合实践,定向邀请主机厂
阅读全文