JWT:渗透测试姿势全解析(含实战)
导语师傅们在渗透测试做越权时,尤其是小程序的资产会经常看到cookie的字段是以eyj开头的字符串,不乏会有些头痛,没办法修改一些敏感字段从而达到越权。这就是jwt(JSON Web Token)。下
阅读全文高价招募护网简历,等你来投递
一、核心定位维度内容目标人群红队渗透手、蓝队防御工程师、安全运营、想转型的开发/运维、应届生核心痛点缺实战经验、简历没亮点、收入天花板低、想进大厂没门路核心卖点国家级实战背书 + 月结高薪 + 技能速
阅读全文以青春之我 守护家国安宁
青年是什么样的,中国就是什么样的。习近平总书记指出:“青年是整个社会力量中最积极、最有生气的力量,国家的希望在青年,民族的未来在青年。”回望革命、建设、改革各个历史时期,一代代热血青年前赴后继,把青春
阅读全文Hermes的应用(三):子代理二
上篇,调动了三个子代理开展工作,但被评判为三个独立无关联的子代理,虽同步但无联动。今天,我们来试个有联动的子代理。一、设计题目任务:构建一个“AI大模型性能实时对比仪表板”系统,要求三个子代理按顺序协
阅读全文【技巧】海上开源情报收集技术
我们在进行开源情报搜集时,可能需要寻找船舶的照片、航行日志和船员信息,也可能截获卫星通信数据。如今,所有在海洋上航行的船舶都需要进行地理定位,以便追踪其最终目的地;这意味着每艘船都在不断传输数据。因此
阅读全文绕过 Windows 针对 SYSTEM 的认证反射缓解措施
原文链接作者https://www.synacktiv.com/publications/bypassing-windows-authentication-reflection-mitigations
阅读全文多次面试后的复盘与体会
这几天在复盘反思与前辈的聊天,有一个观点我们是可以达成认可的,就是不要去加班严重的公司。第一方面是非常累,第二方面是会影响身体健康。给我的建议就是现阶段不用考虑去大型互联网公司,第二个就是不要再去安全
阅读全文【漏洞】RedSun复现
CVE-2026-33825又名RedSun,Microsoft Defender 中访问控制粒度不足,允许获授权的攻击者在本地提升权限。[1]当 Windows Defender 识别出某个恶意文件
阅读全文Bissa扫描器曝光:AI辅助的大规模漏洞利用与凭证窃取
安全研究人员发现一台暴露的错误配置服务器,揭开了一个代号为"Bissa"的自动化扫描攻击行动。攻击者利用 React2Shell漏洞(CVE-2025-55182)进行大规模扫描,成功入侵900+家公
阅读全文【安全圈】远程篡改政府招投标数据将对手评分改低,两人获刑
关键词篡改项目招投标是一项极其严谨规范的经济活动,必须确保公开、公平、公正、诚实守信,然而有人为了达到目的不走寻常路,勾结维护招投标系统的原技术人员,远程操控政府计算机,篡改专家技术标打分数据。24日
阅读全文【安全圈】9人假借招聘骗走大量个人信息 非法贩卖信息获利数十万
关键词个人信息9人假借招聘骗走大量个人信息 非法贩卖信息获利数十万!前不久,甘肃兰州警方破获了一起非法获取和出售公民个人信息的案件。一家网络服务公司频繁招聘兼职,每天都有几十位求职者进入公司,几小时后
阅读全文【安全圈】官方 SAP npm 软件包遭入侵,用于窃取凭证
关键词入侵多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击,被入侵后用于窃取开发者系统中的凭证和身份验证令牌。 安全研究人员报告称,此次入侵影响了四个软件包,目前这些版本在 NPM
阅读全文今日(2026年5月3日)热点网络安全漏洞动态
日期:2026-05-03 威胁等级:High 来源:Tenable · VulDB · WPScan · NVD一、概要2026年5月3日最新发布/更新的高热度漏洞:SGLang 高危漏洞
阅读全文AES加密过程白话版解析
点击上方蓝字谈思实验室获取更多汽车网络安全资讯AES(Advanced Encryption Standard)算法是一种对称加密算法,由美国国家标准与技术研究院(NIST)在2001年发布,旨在取代
阅读全文新一代硬件安全----硬件安全基础
点击上方蓝字谈思实验室获取更多汽车网络安全资讯1.1硬件安全基础在当今这个信息技术无所不在且高度互联的时代,网络安全正变得越来越具有挑战性。例如,随着物联网(IoT) 的兴起,大多数此类设备都会通过某
阅读全文公司用AI了35岁主管被裁!起诉公司获赔26万
判了!AI替岗裁人违法,打工人要懂得维权了!“公司用AI了35岁主管被裁”冲上热搜,更重要是,被裁员工起诉公司后,获赔26万元。事情经过,杭州中院一则判例引爆全网,35岁AI质检主管遭公司以“AI可替
阅读全文Deep#Door新型RAT利用隐蔽与持久化技术攻击Windows系统
Part01攻击特征分析Securonix安全研究人员发现名为Deep#Door的复杂恶意软件活动。攻击者使用基于Python的隐蔽后门,通过出人意料的简单投递方式实现对Windows系统的深度持久化
阅读全文CVE MCP Server集成27种工具,赋能 Claude成为全能安全分析师
Part01漏洞分析工作流的革命性突破名为 CVE MCP Server 的开源项目正在重新定义安全团队分析漏洞的方式。该项目通过单一自然语言查询,让 Anthropic 公司的 Claude AI
阅读全文习近平回信勉励中国青年五四奖章暨新时代青年先锋奖获奖者代表
习近平回信勉励中国青年五四奖章暨新时代青年先锋奖获奖者代表胸怀远大理想矢志拼搏奋斗带动广大青年把个人追求融入国家发展大局在五四青年节到来之际,中共中央总书记、国家主席、中央军委主席习近平给中国青年五四
阅读全文习近平给中国青年五四奖章暨新时代青年先锋奖获奖者代表的回信
习近平给中国青年五四奖章暨新时代青年先锋奖获奖者代表的回信中国青年五四奖章暨新时代青年先锋奖获奖者代表:来信收悉。你们牢记党的嘱托,扎根科技创新、乡村振兴、社会服务、卫国戍边等基层一线,以实干担当书写
阅读全文从Claude Security公测说起:AI对抗AI的背后,现阶段我认为仍是人在过招
2026年5月,Anthropic把Claude Security推进公开测试。这位“AI安全专家”能像资深研究员一样,自主审计代码、挖漏洞、直接生成修复补丁——仅在测试阶段,它就揪出了500多个潜伏
阅读全文AI 与 Java代码审计该如何摩擦出火花?
一. AI时代的高速前进,你慌了嘛?[先说一些个人浅薄的观点,文末还有一些,欢迎一起探讨。]这两年AI的发展速度,感觉已经有些跟不上了。一个接一个的AI技术重磅发布,搞得大家都很焦虑,感觉今天学的技术
阅读全文藏在内核里的对抗:Android风控检测到底是怎么被绕过的?
⚠️ 法律与合规前置声明以下内容仅用于Android安全研究、设备合规调试、风控防御技术分析,严禁用于非法改机、账号作弊、绕过支付/金融风控、数据伪造、黑产薅羊毛等违法违规行为。未经授权修改内核、篡改
阅读全文Claude+Deepseek,强强联手
用Claude的优秀界面和Agent能力,配上DeepSeek V4的高性能和成本优势,本质上就是一次“1+1 > 2”的精巧整合,目标就是追求那个最佳平衡点:既要极致体验,又要性价比,还要省心。这是
阅读全文Anthropic推出Claude Security公开测试版:AI安全扫描进入生产代码时代
导语:当传统安全扫描工具还在用规则引擎"按图索骥"时,Anthropic推出的Claude Security已经能让AI像安全研究员一样"理解"代码了。4月30日,Claude Security正式进
阅读全文CVE-2026-31431:我用 DeepSeek 复现了 AI 发现Copy Fail 提权的全过程
今天安全圈都在刷同一件事:一个安全研究员用 AI Agent 在 Linux 内核里挖出了一个本地提权 0day。安全公司 Xint 发布博客,他们的研究员 Taeyang Lee 基于 kernel
阅读全文Pentest-AI:一键运行全自动渗透测试平台
导语:还在手工点点点?一个命令,4分钟,拿回一份可直接交给甲方的渗透测试报告——这不再是幻想。Pentest-AI把这个场景变成了现实:一键启动,AI自动跑完侦察、漏洞发现、认证会话维持、漏洞链式利用
阅读全文