如何高效挖掘越权漏洞
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文“红汞”骗局手法曝光!
国家安全机关工作发现,有不法分子伪造国家安全部等机关单位红头文件,以参与化学品“Sb2O7Hg2”(俗称“红汞”)交易可获利为名,精心编织骗局,诓骗群众钱财。近日,国家安全机关会同相关部门破获一起“红
阅读全文微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文NestJSDevTools存在远程命令执行漏洞CVE-2025-54782 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文SecWiki周刊(第608期)
本期关键字:安全运营、AI增强、生态型平台、混合式团队、主被动结合、Agentic AI、暴露管理、CTEM、微服务蜜罐、数据泄露态势。2025/10/20-2025/10/26。安全技术[比赛] 第
阅读全文【渗透Tips】XXE高效Payload记录
免责声明:由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删
阅读全文网络安全公司想增长?先做 “品类迁徙”:从合规到业务需求,就看这几步(突围系列)
天气很凉了。貌似今年的冬天,来的比往年更早了一些。就如网络安全行业的寒冬,似乎更加猛烈了。那么,如何突围?如何活下去,并获得发展?今天,先谈一下网络安全行业突围的三大迁徙战略(品类迁徙、价值迁徙、能力
阅读全文【高危漏洞预警】Windows Cloud Files Filter Driver权限提升漏洞CVE-2025-55680
漏洞描述:Windоԝѕ云文件迷你筛选器驱动程序中的检查时间使用时间(tосtоu)争用条件允许未经授权的攻击者在本地提升权限攻击场景:攻击者需具备低权限本地用户账户利用Windows云文件迷你筛选器
阅读全文三条命令完成Mac版微信4.0(及以上)双开
2025年10月26日亲测最新版4.1.2.16可用命令如下: 1、复制微信应用: sudo cp -R /Applications/WeChat.app /Applications/WeChat2.
阅读全文请勿轻信低价骗局!Steam假入库灰产陷阱手法剖析
近期,我们监测到一类通过低价出售Steam游戏激活码的恶意攻击活动。攻击者通过伪装官方工具诱导用户执行恶意脚本,进而植入恶意组件并窃取用户信息。 查杀图Steam 是一款游戏整合平台,其平台的部分游戏
阅读全文诚邀渠道合作伙伴共启新征程
随着业务的不断扩展和市场需求的增长,火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划,期待与更多志同道合的伙伴一起把握行业趋势,共同开拓市场潜力,携手共创网络安全的美好未来
阅读全文【安全圈】BreachForums论坛 重新上线无需暗网访问
关键词网络犯罪臭名昭著的网络犯罪论坛 BreachForums 再次出现在网络上,这次通过清网域名提供访问,无需使用 Tor 等特殊工具即可进入。长期以来,该平台一直是数据泄露、黑客工具交易及非法买卖
阅读全文【安全圈】Everest 勒索软件集团称窃取 150 万都柏林机场乘客记录
关键词数据泄露勒索软件组织 Everest 再次在其暗网泄露站点上发布声称的攻击成果,将都柏林机场(Dublin Airport)和阿联酋低成本航空公司 Air Arabia 列为最新受害者。该组织在
阅读全文【安全圈】新型 Python 木马伪装 Minecraft 应用
关键词网络攻击网络安全研究人员近期发现,一款新型远程访问木马(RAT)正在瞄准游戏玩家群体。这款木马由 Python 编写,伪装成名为 “Nursultan Client” 的 Minecraft 应
阅读全文【安全圈】3,000 个 YouTube 视频被曝为恶意软件陷阱
关键词YouTube一个恶意的 YouTube 网络近期被发现大量发布和推广含有恶意软件下载链接的视频,利用这一视频平台的高人气与用户信任进行恶意传播。自 2021 年起,该网络已经发布了超过 3,0
阅读全文JoySafety安全审核大模型重磅更新!提示词注入、多语种、多轮对话检测能力全面加码
为应对大模型安全威胁日益复杂的挑战,继 2025 年 9 月 25 日在京东 JDD 大会首次发布后,JoySafety项目迎来首次重大升级 ——安全审核大模型V2.0 版本正式上线!本次更新聚焦 “
阅读全文微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文阿里云安全携手月之暗面共筑AI基础设施“免疫系统”
有人在用AI重塑生产力,也有人在用AI破解安全防线。当算力成为“新石油”,GPU成为“兵家必争”,一场围绕AI基础设施的攻防战,正从底层资源蔓延至模型心智。在本期《安全记》栏目中,阿里云智能集团云安全
阅读全文朝鲜攻击者组织Lazarus针对无人机行业发起窃密攻击
朝鲜国家背景的黑客组织Lazarus(APT38)近期发起代号"DreamJob"的网络间谍行动,专门针对欧洲无人机技术研发企业。自2025年3月下旬起,攻击者已成功入侵中欧和东南欧地区三家国防相关机
阅读全文Pwn2Own大赛:黑客利用73个0Day漏洞斩获102万美元奖金
近日,Pwn2Own爱尔兰站2025赛事圆满落幕。研究人员通过在不同设备中发现73个独特的0Day漏洞展现了他们的技术实力。本次由Zero Day Initiative(ZDI)主办的比赛共发放高达1
阅读全文鹏城实验室-中山大学 | 郭得科&谢国锐老师博士招生信息
一、导师介绍郭得科中山大学二级教授、博士生导师,主要研究方向包括算力网、网络计算与系统、分布式计算与系统、网络空间安全等,主持2项NSFC联合基金重点项目、2项NSFC面上项目、1项青年973项目课题
阅读全文平淡无奇却暗藏危机:一份关于15个常被忽视的网络安全盲点的指南
大多数企业安全负责人日夜担忧的是那些罕见的零日漏洞,殊不知,真正的威胁往往隐藏在一些平凡得令人忽视的角落:一个微小的配置错误、一个被遗忘的默认设置、一个无人注意的悄无声息的偏差。这些看似不起眼的问题,
阅读全文Vmprotect2.12.3分析之虚拟机流程
终于到了分析用delphi语言编写的vmp保护接近最后一个版本了,delphi时代最后的狂欢了,我说的不知道有没有问题,但是我想表达的就是这个意思,这个版本可能是2.x的网上可以找到的最后一个版本了,
阅读全文芯片安全设计及应用技术研讨会上海站--“破局芯片安全:技术 · 标准 · 产业”
随着数字化进程加速,芯片安全已成为信息产业发展的基石。本次研讨会聚焦芯片安全前沿技术与应用实践,汇聚行业权威机构与领先企业,共同探讨安全挑战与创新路径。会议特邀纽创信安带来《真实世界的芯片后门》等核心
阅读全文勒索软件团伙Safepay声称入侵监控服务商Xortec
近日,勒索软件团伙Safepay公开宣称已入侵德国专业视频监控提供商Xortec,并将该公司列入其数据泄露网站,设定的赎金支付截止日期为2025年10月27日。总部位于法兰克福、在德国多地设有办事处的
阅读全文渗透世界扑克巡回赛:ClubWPT Gold 后台管理系统
2025年6月,Shubs Shah 和我发现了在线扑克网站 ClubWPT Gold 的一个漏洞,该漏洞允许攻击者完全访问用于所有管理网站功能的核心后台应用程序。该漏洞可能被用来检索驾驶执照、护照号
阅读全文Traccar 未经身份验证的 LFI v5.8-v6.8.1
分析在阅读了一些 Jetty 文档之后,我们发现了这里看似存在漏洞的代码。我们添加了一些注释来帮助解释正在发生的事情。--- snip ---@Override// pathinContext is
阅读全文如何理解汽车功能安全和网络安全的关系?
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01什么是汽车功能安全在汽车的设计、制造、使用和维护过程中,我们必须确保各种功能和系统都能够在安全性方面正常地运行,这些包括动力系统、制动系统、悬挂系统和
阅读全文德企为获得稀土出口许可,已向中国提交供应链数据!
点击上方蓝字谈思实验室获取更多汽车网络安全资讯10月27日,据彭博社报道,鉴于中国进一步加强对稀土出口的管制,部分德国企业为获取稀土出口许可,不得不向中国政府提交敏感的供应链数据。因中国加强对稀土出口
阅读全文自动SSRF漏洞扫描与利用工具
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言有没有一种工具,既可以自动检测SSRF
阅读全文