剖析 XamlReader 动态解析与执行系统命令
本文将聚焦 .NET 生态中一个特殊的安全相关类,依托 XamlReader 组件动态解析 XAML 文档的核心特性,通过精心构造 XAML 载荷,可在目标主机上实现无文件落地的任意系统进程启动,最终
阅读全文.NET内网实战: 通过 FileSecurity 获取目录及文件控制列表和规则
在上一节,我们深入探讨了 Windows 文件权限的理论基础:访问控制列表和 访问控制项,并了解了 BUILTIN\Users、Everyone 和 Authenticated Users 这些内置账
阅读全文个人接单 | web渗透测试
一、项目承接web渗透测试类项目、漏洞扫描类项目(需有授权)。代码审计类项目。二、个人介绍1、熟练掌握各种渗透测试工具并且对其原理有深入了解。2、熟悉常见的web代码,熟悉SQL注入、XSS、CSRF
阅读全文别等被通报才醒悟! Trivy 容器漏扫 5 秒出报告,免费把勒索扼杀在 Build 阶段!
Trivy —— 一站式安全扫描器> 发音:**/ˈtrɪvi/**(tri 像 trigger,vy 像 envy)> 口号:扫一切,知漏洞,零配置Trivy 是 Aqua Security 开源的
阅读全文意大利国家铁路2.3TB信息泄露,马自达、佳能遭勒索攻击|一周特辑
意大利国家铁路集团2.3TB敏感信息泄露意大利国家铁路集团(FS Italiane Group)及其IT服务商Almaviva近期遭遇重大网络攻击,黑客窃取约2.3TB敏感数据。此次泄露涵盖2017-
阅读全文渗透测试之并发的小妙用-绕过限制
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文【情报】美国政府对民众实施广泛的金融监控(含监控模型)
摘要美国司法委员会及其下属的联邦政府武器化特别小组委员会被众议院授权负责维护美国的基本公民自由。作为这一使命的一部分,该委员会及其特别小组委员会发现了令人震惊的证据,表明美国联邦政府正在进行广泛的金融
阅读全文【会议议程】第五届全国开源情报技术大会(COSINT-2025)
COSINT-2025第五届全国开源情报技术大会为推动开源情报技术的深入交流与创新发展,积极应对并引领新时代赋予的全新挑战与机遇,第五届全国开源情报技术大会将于2025年12月6-7日在北京温德姆酒店
阅读全文未来的AI时代可能是怎样的?
我前几年就爱yy,每天幻想未来的ai时代是什么,如果你一直follow我的帖子 会发现我说过几句话:1.想象力是一个人能力的最大边界。2.未来s人将非常不适应这个世界,n人的天下来了。我抽空来解释下为
阅读全文金蝶云星空CommonFileServer接口存在任意文件读取漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【高危漏洞预警】Ray AI计算引擎远程代码执行漏洞CVE-2025-62593
漏洞描述:Rау是一款人工智能计算引擎,用于提高开发人员在机器学习和人工智能项目中的计算效率,在2.52.0版本之前,Rау存在一个严重的远程代码执行漏洞,该漏洞可以通过Firеfох和Sаfаri浏
阅读全文习近平致信祝贺中国志愿服务联合会第三届会员代表大会召开
习近平致信祝贺中国志愿服务联合会第三届会员代表大会召开强调大力弘扬志愿精神传递真善美传播正能量为强国建设民族复兴伟业贡献志愿服务力量在中国志愿服务联合会第三届会员代表大会召开之际,中共中央总书记、国家
阅读全文习近平致中国志愿服务联合会第三届会员代表大会的贺信
习近平致中国志愿服务联合会第三届会员代表大会的贺信值此中国志愿服务联合会第三届会员代表大会召开之际,向大会的召开表示祝贺!向广大志愿者、志愿服务组织、志愿服务工作者致以问候!志愿服务是社会文明进步的重
阅读全文内网综合渗透靶场一(下) 附靶场环境
上一篇文章带大家一起找到了flag1和2,这篇文章继续找寻flag3-5flag3先前我们已经通过代理能够访问tomcat,这里tomcat存在若口令 tomcat,tomcat123 登录之后进行w
阅读全文Intent本地拒绝服务漏洞
点击蓝字 关注我们Intent 本地拒绝服务漏洞一、漏洞原理导出组件(Activity/Receiver/Service) + Intent数据未校验(空值/类型/长度) + 未捕获异常 → 应用崩溃
阅读全文勇夺魁首!启明星辰斩获“供应链安全挑战赛”团队赛一等奖
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)近日,2025年(第十四届)电信和互联网行业网络安全年会在北京召开。会上举行“2025
阅读全文OpenAI承认数据泄露事件:合作伙伴遭钓鱼攻击
OpenAI与数据分析平台Mixpanel近日发布联合声明称,由于黑客入侵Mixpanel系统,OpenAI客户数据遭到泄露。此次事件导致OpenAI API门户的用户档案信息被窃取,但ChatGPT
阅读全文聊聊LNK文件在授权安全测试中的一点应用
有时候,最有效的安全测试,就是从最寻常的地方入手。比如,一个大家每天都会双击的.LNK快捷方式文件,都有可能存在安全风险。据互联网文章研究人员发现,“攻击者不断利用 Windows 快捷方式 (.LN
阅读全文攻击者利用物联网漏洞部署新型ShadowV2恶意软件
2025年10月下旬,伴随全球AWS服务中断事件,一场代号为ShadowV2的新型恶意软件攻击活动浮出水面。该高级威胁通过利用物联网设备漏洞构建僵尸网络,专门实施分布式拒绝服务(DDoS)攻击。其快速
阅读全文遗留Python包中的漏洞代码可通过域名劫持攻击Python包索引
现代开发环境中,遗留代码中潜藏的漏洞往往带来难以察觉的安全风险。近期,Python生态中就暴露出一个典型案例:与构建工具 zc.buildout 配套使用的过时引导脚本,可能使用户面临域名劫持攻击。P
阅读全文ChatGPT开发者数据泄露,但是OpenAI说没被黑
关注我们带你读懂网络安全OpenAI因供应商被黑泄露了开发者(API)用户的部分数据,向受影响用户发送邮件通知,国内注册OpenAI开发者平台的用户也受影响,已有安全内参读者反馈收到相关邮件。前情回顾
阅读全文网络与数据安全十大系统性法律问题
一、网络安全等级保护制度的法规一环《网络安全法》明确以网络安全等级保护制度作为维护网络与数据安全的基础制度。2019年底,《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019)作为
阅读全文【漏洞通告】Cursor远程代码执行漏洞(CVE-2025-62354)
通告编号:NS-2025-00522025-11-28TAG:Cursor、远程代码执行、CVE-2025-62354漏洞危害:攻击者利用此漏洞,可实现远程代码执行。版本:1.01漏洞概述近日,绿盟科
阅读全文首届AI安全挑战赛,全球白帽集结,360SRC邀您上海GDPS开战!
360SRC参赛说明参赛业务纳米 AI 搜索(包括微信小程序、浏览器插件)(n.cn; sea.n.cn; seaf.n.cn) 360 智脑(ai.360.com; chat.360.com)注:
阅读全文vivo X300u值得等吗?OPPO Find X9u又如何,OV神仙打架之超大杯影像解析
昨天索尼LYTIA 901发布后,OV两厂的超大杯就开始让人期待了起来,因为根据爆料这两家超大杯的主摄都将用上这款大法全新旗舰传感器,下面就分“主长广”做出详细前瞻解析。1,主摄:虽然OV的主摄传感器
阅读全文电子文档保密管理指南,这些要点须牢记!
电子文档已成为单位办公最常用的文件形式之一,然而其存储、流转与权限控制的复杂性,使得保密管理工作不容忽视。电子文档的保密管理要求与纸质文件同样严格,那么该如何做好这项工作呢?以下几点建议让大家参考!一
阅读全文每周蓝军技术推送(2025.11.22-11.28)
Web安全CVE-2025-6389:WordPress 未授权RCE漏洞POChttps://github.com/B1ack4sh/Blackash-CVE-2025-6389CVE-2025-5
阅读全文