一键领取属于你的“国家安全守护卡”
转载请注明来源国家安全部微信公众号
阅读全文整合型漏洞扫描工具 -- vulnscan(4月6日更新)
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负
阅读全文紧急预警!Apache ActiveMQ 爆出高危 RCE 漏洞 (CVE-2026-34197)
如果你公司的业务里用到了 Apache ActiveMQ,这两天可能又要忙着打补丁了。就在刚刚,安全圈爆出了一个针对 Apache ActiveMQ 的高危漏洞,编号为 CVE-2026-34197
阅读全文Slack冒充Linux Foundation高层,开源开发者正被“熟人社工”精准收割
4月10日,星期五,您好!中科汇能与您分享信息安全快讯:01Slack冒充Linux Foundation高层,开源开发者正被“熟人社工”精准收割最新披露显示,攻击者正在Slack中冒充Linux F
阅读全文【红队】一个检测VUE站点未授权漏洞
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有侵
阅读全文每周高级威胁情报解读(2026.04.03 ~04.09)
2026.04.03 ~04.09攻击团伙情报CyberAv3ngers 利用美国关键基础设施中的可编程逻辑控制器进行攻击APT28 入侵的基础设施用于监视其他目标Kimsuky 组织已改变了恶意 L
阅读全文一个弱口令,罚了5万!数据安全没有“小事”
2025年3月,衡山县互联网信息办公室巡查发现,某医院体检系统使用的MySQL数据库服务存在弱口令漏洞,且该服务映射至公网地址,导致医疗信息可通过网络被获取。医院未建立健全全流程数据安全管理制度,最终
阅读全文2026攻防演练红队高频面试题30个(含答案)!
一、红队基础与方法论1. 红队与渗透测试的本质区别是什么?答: 红队强调全链路对抗与隐蔽性,目标是模拟真实APT攻击,在不被蓝队发现的前提下获取核心权限;渗透测试侧重合规性验证,通常点到为止,不涉及
阅读全文【已复现】Vite WebSocket 任意文件读取漏洞(CVE-2026-39363)!
2026年4月6日,Vite 官方发布安全公告,披露了一个高危任意文件读取漏洞,编号 CVE-2026-39363。 该漏洞影响 Vite 开发服务器的 WebSocket 接口,攻击者可通过构造特
阅读全文解读|国务院834号令:我国首部供应链安全行政法规施行,软件合规红线划定
2026年4月7日,国务院公布《国务院关于产业链供应链安全的规定》(国务院令第834号,以下简称“规定”)。这是我国首部专门维护产业链供应链安全的行政法规,共十八条,明确了产业链供应链安全工作原则、健
阅读全文聚焦智能体安全标准化,安恒信息联合参编全国网安标委“网络安全标准化技术研究报告”(附下载)
近日,全国网络安全标准化技术委员会(TC260)秘书处正式发布《网络安全标准化技术研究报告——智能体安全标准化研究》(TC260-TR-005-2026)。该报告系统梳理了智能体技术的发展现状、安全风
阅读全文【漏洞预警】Adobe Reader 零日漏洞正被恶意 PDF 利用
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文EngageLab SDK 漏洞致 5000 万安卓用户信息泄露,其中包括 3000 万加密钱包
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文微信小程序API接口调用凭证+Access token泄露
课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具
阅读全文2026年第一季度疑似朝鲜背景的APT组织综合分析
一、APT组织攻击活动背景概述2026年第一季度,朝鲜背景的APT组织活动呈现高度活跃态势,共监测到6个主要活跃组织,分别为Kimsuky(APT43/Konni)、Lazarus Group(APT
阅读全文基于视觉大模型的图像地理定位
工作来源PETS 2025工作背景在 OSINT 开源情报分析领域,通过图片来确定拍摄位置一直是一项高级技能。那么多模态的视觉大语言模型,可不可以基于已有的知识实现这一判断呢?将图片的元数据(EXIF
阅读全文CVE-2026-34040:Docker授权绕过漏洞剖析
注:本文翻译自 Cyera 的文章《One Megabyte to Root: How a Size Check Broke Docker’s Last Line of Defense》[1],可点
阅读全文AI 越火,越要敬畏 SDLC:一场关于软件工程的理性回归
大家都在谈 AI 将如何改变软件开发,但更值得讨论的,是那些不会改变的部分。某种意义上,AI 正在迫使工程回归第一性原理,也在放大 SDLC 中“基本功”的重要性:如果代码可以被生成,那么规格必须精确
阅读全文2026出海洞察 | 从“商品出口”到“全球化深耕”,中国企业走到了哪一步?
章节看点历史回溯: 梳理2001年至今的全球化三部曲。核心驱动: 为什么现在是出海的最佳(也是必然)时机?行业扫描: 谁在出海?四大梯队各展所长。全球坐标: 聚焦六大关键区域的民营企业实战观察。202
阅读全文4.11,深圳见|扬帆安全沙龙·2026·深圳站
在当今全球化的商业格局中,中国企业的出海征程正稳步推进。数字化时代,企业在海外市场面临着复杂多变的安全挑战,多维度的安全护航科技能力已成为保障业务持续发展的关键要素。作为中国专业聚焦的出海安全社区,扬
阅读全文北韩"幽灵"开发者入侵DeFi:一人多职潜伏多个项目
导语:2026年4月,DeFi行业连续遭遇重击。先是4月1日 去中心化永续合约协议Drift Protocol遭2.85亿美元黑客攻击(疑似北韩所为),紧接着链上侦探ZachXBT再度抛出重磅炸弹——
阅读全文【视频】藏在收款机里的“特洛伊木马”:CVE-2026-4583 漏洞如何反向接管你的电脑?
导语: 你可能认为,一个简单的蓝牙收款机最多只能导致支付欺诈。但最新的安全研究揭示了一个惊人的事实:通过一个名为 M6Plus 的移动支付终端,攻击者可以利用一个低级但致命的协议漏洞,直接“反向入侵”
阅读全文垃圾字符填充getshell
来源:( https://bbs.zkaq.cn )信息搜集找到一个某大学的系统,直接小红书搜索: 某大学 xx 系统的密码是多少呀账号为学号,登录成功。任意文件上传登录成功之后来到文件上传点t
阅读全文黑客利用Flowise关键漏洞攻击数千个AI工作流
漏洞概述:自定义MCP节点设计缺陷导致任意代码执行网络安全研究人员发现,威胁攻击者已找到向Flowise低代码平台注入任意JavaScript的方法。该平台主要用于构建定制化大语言模型(LLM)和Ag
阅读全文当AI 沦为合规造假工具,Delve“虚假合规即服务”事件深度剖析
作为长期深耕网络安全领域的行业观察者与内容创作者,在对近期合规科技赛道进行系统性研判时,笔者注意到一起极具警示意义的行业事件:合规科技初创企业 Delve 被曝光存在 “虚假合规即服务”(Fake C
阅读全文网络安全江湖的三大流派
网络安全江湖的三大流派商业派 · 艺术派 · 学院派先聊鄙视链网络安全圈有一条不成文的鄙视链。搞二进制的瞧不上做渗透的——"连汇编都不会读,也配叫安全研究?"做渗透的瞧不上搞运维的——"天天盯日志改策
阅读全文OpenAI、Anthropic、谷歌坐到了一条板凳上
OpenAI和Anthropic,一对互相看不顺眼的AI公司,上个月还在为"谁的模型更安全"吵得不可开交。谷歌DeepMind在旁边看戏,自己搞自己的。4月6日,彭博社爆了一条消息:这三家美国AI巨头
阅读全文对话即创造:WinClaw技中技如何让AI越用越聪明
当大多数 AI 助手越用越"笨"时,WinClaw 选择了一条截然不同的路径:让每一次对话都沉淀为可复用的能力,形成真正的"越用越好用"的正向循环。1AI技能生态的六大困境AI助手的能力取决于它拥有的
阅读全文WinClaw安全龙虾🦞|10000名用户Token永久免费!
最近养虾🦞🦞真是火出圈🔥🔥,养虾人却还在担心Token不够用?别焦虑,永久免费的Token,无限量使用的Token,来了!威努特3月12日正式发布国内第一款安全龙虾WinClaw,截至目前,产品日活用
阅读全文MemShellParty内存马二开 | JDK全版本无回显命令执行场景下打内存马
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文