黑客利用 Gladinet CentreStack 加密漏洞发起远程代码执行攻击
黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击,其所用的突破口,是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。安全研究人员发出警告,攻击者可借
阅读全文回报家乡-某证书站的一次渗透测试
前言本篇文章漏洞已经修复,关键信息已打码,文章旨在分享安全测试过程中所使用的思路与分析方法,切勿对任何非授权的系统进行渗透测试!起因看到EDUSRC上了家乡以省命名大学的证书,让在外打拼(当牛马)的我
阅读全文天融信入选IDC中国网络安全合规技术服务提供商
近日,IDC发布《中国网络安全合规解决方案市场洞察,2025》报告。天融信凭借全面的产品、服务体系与完备的解决方案,成功入选技术服务提供商,充分体现了市场对天融信安全合规技术能力的高度认可。“报告显示
阅读全文守护智能体安全!天融信获年度优秀AI安全创新应用
近日,嘶吼安全产业研究院正式公布年度“金帽子”评选结果,天融信《企业级AI智能体全链路安全防护解决方案》以总评分第一的优异成绩,荣膺年度优秀AI安全创新应用。该奖项关注人工智能技术在网络安全领域的实质
阅读全文比利时网络部队司令探讨网络赋能的混合战争威胁
编者按:比利时网络部队司令兼比利时网络司令部司令皮埃尔·西帕里斯探讨对网络空间赋能的混合战争的看法,尤其关注网络攻击和信息战。皮埃尔·西帕里斯认为,混合威胁具有两个核心特征,即模糊性和非对称性,两个特
阅读全文一次被学员“自发传播”的合规研修
12 月 20–21 日,BlockSec 加密支付合规培训研修计划 · 第一期在浙江大学玉泉校区 顺利举办并圆满结束。这是 BlockSec 首次以线下闭门形式,系统性地围绕 加密支付合规、全球监管
阅读全文网安原创文章推荐【2025/12/23】
2025-12-23 微信公众号精选安全技术文章总览洞见网安 2025-12-23 0x1 某证书站绕过思路夜子安全Sec 2025-12-23 22:58:41 本文主要分享了一位网络安全学习
阅读全文AI网络安全新图景:攻击面扩展与治理要点
很多人以为,AI对网络安全的影响主要体现在“多了个更聪明的工具”。但读完这份关于亚太(AP)AI网络安全的梳理之后,一个更扎心的结论是:AI正在把攻击变得更快、更便宜、更逼真,同时也让企业的系统结构
阅读全文CVE-2025–66516 & CVE-2025–54988:利用恶意 PDF 攻破 Apache Tika
官网:http://securitytech.cc/今天,我们将讨论一个近期的 Apache Tika 漏洞:由于使用了存在漏洞的 tika-core 依赖,导致了 XML 外部实体(XXE)漏洞。该
阅读全文联发科 MT7622 无线网卡驱动程序的 19 个以上漏洞及 PoC
威胁简报恶意软件漏洞攻击介绍大家好!好久没发帖了,今年一如既往地忙碌(包括和@SummoningTeam 的兄弟们一起赢得了 Pwn2Own 大赛!)。这篇文章算是对我过去一年在联发科 WiFi 芯片
阅读全文重新审视 CVE-2025-50165:Windows 图像组件中的一个严重缺陷
威胁简报恶意软件漏洞攻击ESET 研究人员对 CVE-2025-50165 进行了分析。这是一个严重的 Windows 漏洞,攻击者只需打开一个特制的 JPG 文件(一种最常用的图像格式)即可远程执行
阅读全文【已复现】LangChain 序列化注入漏洞(CVE-2025-68664)
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”漏洞概述漏洞名称LangChain 序列化注入漏洞漏洞编号CVE-2025-68664公开时间2025
阅读全文【喜报】4篇研究成果被国际顶级会议NDSS 2026录用
近日,国际顶级学术会议 NDSS 2026(Network and Distributed System Security Symposium)公布录用结果,奇安信技术研究院合作完成的4篇论文成功被录
阅读全文日产 2.1 万车主数据泄露,祸起供应商翻车
高危漏洞 紧急修复指南 RCE Patch 日本汽车制造商日产公司披露了一起数据泄露事件,该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的
阅读全文圣诞节被“拔网线”?法国邮政金融系统遭黑客攻击瘫痪
继卢浮宫因视频监控系统弱密码被盗后,法国人的圣诞节也因为黑客攻击而蒙上了阴影。在“黑色星期五”和圣诞购物季的物流节骨眼上,法国人的“快递命脉”断了,堂堂法国国家邮政(La Poste)会被黑客在一年中
阅读全文韩国反电诈出大招:购买手机卡必须刷脸
在数据泄露与电信诈骗横行的今天,韩国政府终于祭出了“大招”,但代价是普通人的生物信息。2025年12月,韩国科学技术信息通信部(MSIT)宣布了一项重磅政策:办理新手机号、携号转网或变更名义时,用户必
阅读全文CVE-2025-55182 React2Shell 深度分析
目录一、前 言二、CSR、SSR、RSC,Server Actions三、Promise、Thenable四、Next.js Request五、漏洞原理六、Payload构造七、总 结一前 言2
阅读全文【高危漏洞预警】n8n远程代码执行漏洞CVE-2025-68613
漏洞描述:n8n是一个开源的工作流自动化平台,它允许用户创建自动化工作流程以连接不同的服务和应用程序,该漏洞源于n8n在评估工作流中用户定义的动态表达式时,未能将其执行上下文与底层服务器运行时环境进行
阅读全文长亭发布 AI 开发平台:白嫖算力,让 AI 参与真正的工程级研发
MonkeyCode 已正式上线,在线使用地址先放在最前面,方便你直接收藏: 👉 https://monkeycode-ai.com如果你最近在关注 AI 编程工具,可能已经有点“审美疲劳”了:能写
阅读全文记一次内网渗透复盘-拿下域内30+机器
0x00免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学
阅读全文Dirty Vanity:利用 Windows 远程 Fork 的代码注入新方法与 EDR 绕过
Dirty Vanity 是一种新的代码注入(code injection)技术,它滥用 Windows 操作系统中一个不太为人所知的机制:forking。本文将深入讲解 forking,介绍其合法用
阅读全文珍贵宝石:新一代 Kerberos 票据伪造攻击(Golden/Diamond/Sapphire Ticket)
执行摘要Unit 42 研究人员提出了一套新的检测方法,可提升对新一代 Kerberos 攻击的发现能力。这类攻击允许攻击者通过修改 Kerberos 票据来维持特权访问。其中最广为人知的是 Gold
阅读全文在转转冲动消费二手iPhone,结果真香了...
一直想换台iPhone,但新款价格让人望而却步,二手机市场又水太深——翻新、改装、暗病,这些词光是想想就头疼。作为一个普通用户,实在没精力和卖家反复周旋、赌运气。最后在朋友推荐下,我把目光投向了转转a
阅读全文豪掷近700亿元押注云上AI+安全!Palo Alto迎战网络安全变革期
Palo Alto与谷歌云达成重大合作,未来几年将向其支付近百亿美元,以购买谷歌云与AI服务资源,将旗下产品全面集成谷歌云平台、AI平台、Gemini大模型等,并投入开发AI相关的新产品服务;据悉,P
阅读全文MITRE发布2025年ATT&CK网络安全产品评测结果
MITRE已正式发布2025年 ATT&CK 企业级网络安全产品评测结果。今年共有11家安全厂商参与评测,部分厂商对外强调其在特定评测维度中实现了100%的检测率或防护覆盖率。01参与厂商与评测背景2
阅读全文2025年安全团队必备的40款开源安全工具
开源安全软件是安全团队获得兼具灵活、透明、强大、免费的安全工具的主要途径。本文汇总的40款免费工具可帮助安全团队解决各种问题,从管理大型环境到发现配置错误,再到了解新技术如何改变威胁暴露面。01Aeg
阅读全文漏洞挖掘:众测src测试姿势总结
导语最近在打众测和src,也挖到一下洞,这里分享一些我的测试流程和思路,希望能帮助各位师傅提供新的思路,共同学习,共同进步。支付漏洞支付漏洞是渗透测试的常客了,只要是商城的资产,支付漏洞一定是第一要测
阅读全文