MetaCRM美特crm系统sendsms.jsp接口存在任意文件上传漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【高危漏洞预警】Citrix NetScaler内存溢出漏洞CVE-2025-7775
漏洞描述:Citriх NеtSсаlеr ADC和NеtSсаlеr Gаtеԝау是Citriх公司提供的负载均衡和应用交付网络产品,广泛应用于企业级网络中以优化网络性能和安全性,该漏洞源于Nеt
阅读全文VS Code Copilot 提示词注入漏洞分析
译者按:本文基于 GitHub 安全实验室安全研究员 Michael Stepankin 的最新发现,揭示了 VS Code Copilot Chat 扩展中存在的安全漏洞。这些漏洞可能导致本地 Gi
阅读全文“没有安全能力” ,是对运营商做安全的最大误解
当我们谈论网络安全行业的玩家时,目光往往先聚焦于传统安全厂商的攻防技术、新兴企业的创新产品,却鲜少有人真正读懂运营商的实力和格局。有不少声音认为,“运营商没有核心安全能力,只是管道提供者”——其实,这
阅读全文西交利物浦大学 | 针对大型语言模型的目标导向生成式提示注入攻击
原文标题:Goal-guided Generative Prompt Injection Attack on Large Language Models原文作者:Chong Zhang , Mingy
阅读全文MISC系列(59)--用Arybo进行混合布尔运算分析
创建: 2025-08-12 17:22更新: 2025-08-27 14:59链接: https://scz.617.cn/misc/202508121722.txt目录: ☆ 背景介绍
阅读全文【安全圈】谷歌将推行开发者实名验证:未来未验证应用将被禁止安装
关键词Google谷歌近日宣布,将对 Android 应用开发生态实施全新的“开发者身份验证”(Developer Verification)机制,以遏制通过第三方商店或 APK 侧载渠道传播的恶意软
阅读全文【安全圈】澳电信巨头iiNet再陷数据泄露危机
关键词数据泄露2025年8月19日,澳大利亚第二大电信运营商TPG Telecom发布紧急声明,证实其子公司iiNet的订单管理系统遭黑客入侵。攻击者利用窃取的员工凭证突破防线,导致超28万活跃用户的
阅读全文【安全圈】全球八百多家家银行遭殃!77款恶意安卓应用以1900万次下载量实施诈骗
关键词恶意软件安全机构Zscaler最新研究报告揭露,Google Play应用商店中潜伏着77款恶意软件,总下载量突破1900万次。这些应用通过伪装成文件阅读器等实用工具,暗中传播Anatsa银行木
阅读全文【安全圈】黑客通过OAuth令牌漏洞,入侵多家企业
关键词安全漏洞近日曝出的一起针对企业级Salesforce系统的高级数据窃取行动引发广泛关注。黑客组织UNC6395通过入侵第三方应用Salesloft Drift的OAuth令牌,在2025年8月8
阅读全文Chrome浏览器高危零日漏洞PoC公开,已被用于野外攻击
谷歌此前披露了Chrome浏览器V8 JavaScript引擎中存在一个高危零日漏洞(CVE-2025-5419)。而在近日,该漏洞的概念验证(PoC)利用代码已被公开。相关补丁已经发布,用户应尽快进
阅读全文3个月狂揽70万赏金,挖洞赛道惊现17岁“天才黑马”!
17岁,3个月 ,70W!这不是小说剧情,而是真实发生的“黑客神话”。更让人不敢相信的是——白色鼠标师傅接触漏洞挖掘也不到两年。没有名校背景,没有大厂履历,纯靠一套极少人知道的「前端JS渗透打法」,杀
阅读全文国产开源BI工具DataEase曝光两个远程代码执行漏洞
安全研究人员在开源商业智能(BI)工具DataEase中发现两处高危漏洞,该工具主要用于数据可视化与分析。编号为CVE-2025-57772和CVE-2025-57773的漏洞可能允许攻击者通过特制载
阅读全文借AI工具绕过安全边界,供应链攻击瞄准开发者
网络安全研究团队StepSecurity近日发出警告,流行的Nx构建系统软件包遭遇大规模供应链攻击。该软件包每周下载量超过400万次。2025年8月26日,攻击者发布了一系列包含恶意代码的Nx版本,专
阅读全文SRC漏洞挖掘辅助工具-Phantom
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有侵
阅读全文首个“AI勒索软件”出现:恶意行为代码由大模型动态生成
关注我们带你读懂网络安全图:恶意软件PromptLock的Lua代码生成请求示例ESET发现一个正在开发阶段的新型勒索软件PromptLock,其恶意行为代码由一个私有部署的大模型动态生成,预计未来有
阅读全文美国特种作战司令部文件曝光美军拟利用AI技术开展信息战
编者按美国新闻网站“拦截”8月25日曝光称,美国特种作战司令有意获取机器学习技术,以便在海外开展人工智能宣传活动。美国特种作战部队采购、技术和后勤中心的文件提供了美国特种作战部队近期军事技术愿望清单,
阅读全文必看报告!AI防御时代:如何用杀伤链模型守住自己资产
当前,勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力,青藤基于多年勒索软件研究积累,发布了《基于杀伤链的勒索软件防御指南》,报告提供了实战化的勒索攻击防御技术方案,让有效的安全
阅读全文「实战控必看:仿真内网靶机限时免费回归!」
好消息来了!🎉大家期待已久的 ATT&CK实战框架-Lab10 和 Medal 靶场,即日起限时返场开放!这一次,我们为你准备的不只是靶场,更是一场 沉浸式攻防体验。🎯 靶场亮点Lab10基于 ATT
阅读全文破解制造业终端安全难题的6大关键,获取专属方案
方案背景与目标(一)制造业终端安全现状制造业在终端安全管理方面面临诸多复杂挑战,具体可归纳为以下四类核心问题:多角色多终端接入混乱:员工、外包人员、合作伙伴、供应商等众多角色,使用PC、移动终端、Io
阅读全文2025 KCTF | 第六题《秘辛揭露》设计思路及解析
2025 KCTF 于8月15日中午12点正式开赛!比赛设置了多维度的评分体系,包括难度值、火力值和精致度积分。今天中午12点,第六题《秘辛揭露》已截止答题。*注意:签到题《废柴少年觉醒》持续开放,整
阅读全文Nissan 旗下设计工作室服务器遭入侵,4TB 数据被窃
近日,日本汽车制造商 Nissan 向 BleepingComputer 证实,其全资子公司Creative Box Inc.(简称 CBI)的服务器遭未授权访问,引发数据泄露事件。这一消息源于麒麟(
阅读全文3个月直通大厂高新岗位!全程实战案例解析,掌握高危漏洞攻防技巧
代码审计工程师如今,代码审计已成为企业防御漏洞、提升产品安全的重要技能之一。然而,能够从零基础到精通代码审计的课程却不多。这门课程将从环境搭建到高危漏洞挖掘全覆盖,带你飞跃技术壁垒,全面了解和掌握高危
阅读全文记某次攻防暴肝的一夜
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会
阅读全文绿盟科技亮相2025人民数据大会
全文共1225字,阅读大约需3分钟。8月26日,由人民网·人民数据主办、深圳市社会组织总会与深圳市企业联合会支持的“2025人民数据大会”在深圳成功召开。绿盟科技政府事业部总经理封帆、政府事业部技术总
阅读全文日产确认遭勒索软件入侵,4TB核心数据被盗
点击上方蓝字谈思实验室获取更多汽车网络安全资讯日本汽车制造商日产(Nissan)近日确认其子公司Creative Box Inc.(CBI) 遭遇数据泄露事件,涉及车辆设计核心资料。此次攻击由Qili
阅读全文上汽最详细的整车开发流程(CPMP)解读
点击上方蓝字谈思实验室获取更多汽车网络安全资讯来源:美男子玩编程 end 精品活动推荐 AutoSec系列沙龙 专业社群 部分入群专家来自:新势力车企:特斯拉、合众新能源-哪吒、理想、极氪、小米
阅读全文重磅专题论坛 | AES汽车以太网及车载光通信技术论坛开启报名
点击上方蓝字谈思实验室获取更多汽车网络安全资讯在汽车智能化与网联化加速演进的时代浪潮下,车载通信技术正迎来革命性突破。随着EE架构向集中式发展,以太网及光通信技术已成为实现高带宽、低时延车载网络的核心
阅读全文西安交通大学副教授确认AutoSQT 2025分享:复杂软件生态协同演化分析技术,操作系统的视角与实践
点击上方蓝字谈思实验室获取更多汽车网络安全资讯9月10日-11日,由谈思实验室和谈思汽车联合主办的「2025第二届汽车软件质量与测试峰会」将于上海盛大召开,以助力汽车软件的高质量开发,保障智能汽车的安
阅读全文新型无文件攻击后门,通过RAR文件名入侵Linux系统
一、事件概述近日,网络安全公司Trellix发现了一个针对Linux系统的新型无文件攻击事件,他们为该攻击事件命名为“VShell”。该事件攻击者采用无文件攻击技术,利用精心构造的RAR文件名,在无需
阅读全文