每日安全动态推送(26/4/29)
• 史上最大规模的ECC攻击,赢得1个比特币 - 安全内参 | 决策者的网络安全知识库https://www.secrss.com/articles/89793本文核心亮点在于独立研究员 Gianc
阅读全文上海隧道新加坡公司发生数据泄露,甲方暂停数字系统访问权限
关注我们带你读懂网络安全上海隧道新加坡公司发生数据泄露,其承包的地铁站、新生水厂建设项目相关数据泄露,目前尚未发现被公开;地铁站/水厂的主管部门回应称,已暂停该公司对项目相关数字系统的访问权限。前情回
阅读全文美国空军部发布人工智能和数据战略以加速提升军事优势
编者按:美国空军部4月20日发布《美国空军部人工智能战略》和《美国空军部数据战略》,明确将数据和人工智能从“辅助功能”提升为“战略优势的基础”,旨在确保美空军部在复杂安全环境下保持敏捷并领先于不断演变
阅读全文CVE-2024-38812 深度分析:从堆风水到远程代码执行
VMware vCenter Server DCERPC 堆溢出漏洞完整利用过程整整三天,心态崩了无数次,又重拾信心再来。WEB安服仔对二进制的第一次尝试,冲!一、漏洞背景2024年,VMware v
阅读全文视频服务 Vimeo 确认 Anodot 泄露事件导致用户数据暴露
高危漏洞 紧急修复指南 RCE Patch Vimeo 近日披露,在数据分析异常检测公司 Anodot 近期遭遇泄露事件后,部分 Vimeo 客户和用户的数据被未经授权访问。推测e该视频平台表示
阅读全文AI靶场安全实战系列:训练数据投毒——利用标签翻转实现内容审核定向漏判
摘要:上一篇《RAG知识源投毒——利用PDF隐藏文字劫持AI客服》展示了攻击者如何通过污染知识库来劫持AI输出。本文延续对AI供应链安全的探讨,聚焦于另一种隐蔽的训练数据投毒攻击——标签翻转。随着AI
阅读全文把 AI Agent 用成长期员工:Skill 开发与入门方法论
笔记整理自 2050 新生论坛,并加入逆向工程领域相关例子。引言:为什么很多 Agent 用起来总是不稳定?很多人第一次接触 AI Agent 时,都会经历同一种落差:它看起来很聪明,但真正让它做事
阅读全文【主流WAF沦陷】Java "幽灵比特位"(Ghost Bits)手把手带你新型WAF绕过
课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向,CNVD和EDUSRC漏洞挖掘,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具
阅读全文深度分析Sorry勒索软件的加密实现与行为特征
Sorry勒索软件自今年3月现身以来,利用各类常见企业软件漏洞发起攻击,能够远程加载攻击载荷,并展现出跨平台的勒索攻击能力。本周,360反病毒团队持续收到与Sorry勒索软件相关的样本反馈与攻击告警信
阅读全文信息安全漏洞周报(2026年第17期)
点击蓝字 关注我们漏洞情况根据国家信息安全漏洞库(CNNVD)统计,本周(2026年4月20日至2026年4月26日)安全漏洞情况如下:公开漏洞情况本周CNNVD采集安全漏洞1447个。接报漏洞情况本
阅读全文习近平:着力提高防范应对自然灾害能力 切实维护人民群众生命财产安全
习近平在中共中央政治局第二十五次集体学习时强调着力提高防范应对自然灾害能力切实维护人民群众生命财产安全中共中央政治局4月28日下午就提高防灾减灾救灾能力进行第二十五次集体学习。中共中央总书记习近平在主
阅读全文类型转换造成的问题,幽灵比特位(Ghost Bits)漏洞浅析,以及一些思考和实战思路拓展。
2026 年 4 月,在 Black Hat Asia 2026 大会上,安全研究员 Zhihui Chen(1ue)与安全研究员 Xinyu Bai(浅蓝)发表了题为《Cast Attack: A
阅读全文Java代码审计高阶班课程新增【AI代审实战】内容,还有优惠价格,欢迎一起来卷~
一. AI时代的高速前进,你慌了嘛?[先说一些个人浅薄的观点,文末还有一些,欢迎一起探讨。]这两年AI的发展速度,感觉已经有些跟不上了。一个接一个的AI技术重磅发布,搞得大家都很焦虑,感觉今天学的技术
阅读全文记一次一波三折的众测SRC经历
扫码领资料获网安教程本文由掌控安全学院 - flysheep 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)前言先谈个人SRC心得体会吧,我虽
阅读全文4月社区投稿活动 | 漏洞挖掘
2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋,可在社区商城提现),打空截止,不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原
阅读全文《用 MaR 自动加载若依动态路由:从手动替换到一键通杀》
前言作者:ArG3看了月和 0xsdeo 师傅的文章,思路确实打开了。不过实操下来,发现手动替换 JS 加载动态路由这招,在打批量目标的时候还是太费时间。最开始我想用 HaE 插件配合正则来偷懒,只提
阅读全文Android逆向智能分析工具V1.4
APP逆向分析工具V4.5APK安全加固平台V5.2Python逆向分析工具V2.5Unity手游无Root注入工具Android病毒分析工具V3.2Android智能取证系统V1.1.8Androi
阅读全文SVG滥用:无需XSS即可盗用账户
官网:http://securitytech.ccSVG 滥用:无需 XSS 的账户接管SVG 上传是一个非常有趣的攻击面!大多数渗透测试人员都会检查 XSS,但如果内容安全策略(CSP)被设置为 s
阅读全文将批量赋值和路径遍历链接到存储型 XSS
官网:http://securitytech.cc每个黑客都懂这种感觉。你盯着一个网页应用,漫无目的地发送攻击载荷,等待着永远不会到来的回调。最近的 Intigriti 0426 CTF 挑战赛正是如
阅读全文thinkphp3 注入问题。
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公
阅读全文OpenClaw 漏洞可致安全策略绕过及凭证泄露风险
网络安全研究人员近日在AI Agent 框架 OpenClaw(曾用名 Clawdbot 和 Moltbot)中披露了三个中危漏洞。这些通过 npm 包分发的安全缺陷可导致策略执行绕过、网关配置篡改以
阅读全文咨询效率提升60%、审核效率提升12倍,天融信助力政企数智化转型实践→
近日,由中国互联网协会物联网与产业数智化工作委员会、中国移动通信联合会产业互联网委员会、浙江省物联网产业协会主办,天融信科技集团等承办的AI+应用案例深度解析闭门讨论会在杭州成功举办。会议汇聚业内资深
阅读全文紧贴专项行动,天融信赋能金融机构数据安全运营实务培训
数据安全是金融行业的生命线,也是监管持续聚焦的核心领域。近日,由中国金融传媒股份有限公司主办的“金融机构数据安全运营实务培训班”在北京成功举办。本次培训围绕金融数据安全全生命周期运营,设置9门核心课程
阅读全文【已复现】LiteLLM SQL注入漏洞(CVE-2026-42208)
● 点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称LiteLLM SQL注入漏洞漏洞编号QVD-2026-22863,CVE-2026-42208公开时间2026-04-27影响量级万级奇安
阅读全文习近平向上海合作组织绿色和可持续发展论坛致贺信
4月29日,国家主席习近平向上海合作组织绿色和可持续发展论坛致贺信。习近平指出,中国秉持绿水青山就是金山银山理念,坚定不移走生态优先、绿色发展之路,是全球生态文明建设的参与者、贡献者、引领者。习近平强
阅读全文跨上下桥许可记忆投毒——基于SPIRALbase的新型记忆投毒攻击风险预测
本文完整pdf下载链接:https://wwaop.lanzn.com/i0Uw83o9fxza本文总字数约为12500字,为基于AI发展的攻击技术推演。不代表引言现有的主要分为主流记忆投毒,仍集中在
阅读全文月下载量超100万的PyPI包被投毒,开发者最信任的依赖链又被打穿
4月29日,星期三,您好!中科汇能与您分享信息安全快讯:01SimpleHelp漏洞进入实战利用,远程运维平台一旦失守就是“开门揖盗”CISA最新警告显示,SimpleHelp多处漏洞已被实际攻击利用
阅读全文Java "幽灵比特位"(Ghost Bits)引发的waf通杀
正文Java 是目前企业级应用中最广泛使用的编程语言之一,其生态内的 Spring、Tomcat、Jackson、fastjson 等框架和组件被全球数以亿计的系统所依赖。2026 年 4 月,在 B
阅读全文MonkeyScan实测:一款轻量、精准、高效的AI代码审计工具
摘要AI辅助开发让效率翻倍,但每次部署前心里总打鼓?AI生成的逻辑有隐藏漏洞吗?引入的开源组件带“后门”吗?接口权限、SQL注入、数据泄露…人工检查真的靠得住?试试MonkeyScan,精准扫描帮你打
阅读全文