每周蓝军技术推送（2025.10.25-10.31）

Web安全NextjsServerActionAnalyzer：Next.js服务器动作安全分析工具https://github.com/Adversis/NextjsServerActionAnal

神奇的order by注入——第二篇

一、 泛用检测在一次实战中，我碰到了类似这样的检测。 @RequestMapping("/findUser") public String findUser(@Param("key") S

Yakit MITM 实战：如何打通国密双向认证的“证书关卡”？

这里我们采用互联网公开的 GMSSL 在线 demo 网站进行测试。启动 MITM 然后访问 URL：https://demo.gmssl.cn:2443这时我们会发现网站返回了 400 Bad Re

通杀脚本（续）

0x00 前言首先非常感谢所有支持过我插件的朋友们，如果没有各位的支持，AntiDebug_Breaker也不会衍生出目前已有的这些功能。这篇续文我将讲述一下我为昨天更新的脚本进行的一些修改，以下是修

【高危漏洞预警】Microsoft Windows SMB Server身份认证绕过漏洞CVE-2025-58726

漏洞描述：Windоԝѕ SMB 服务器中的访问控制不当，允许已授权的攻击者通过网络提升权限。攻击场景:攻击者可利用该漏洞通过网络发起远程攻击,在无需额外权限的情况下绕过身份认证机制,进而提升权限

习近平向亚太经合组织工商领导人峰会发表书面演讲

当地时间10月31日下午，国家主席习近平向在韩国庆州举行的亚太经合组织工商领导人峰会发表题为《发挥亚太引领作用 共促世界发展繁荣》的书面演讲。习近平指出，当前，国际形势变乱交织，世界正站在新的十字路口

习近平在亚太经合组织工商领导人峰会上的书面演讲（全文）

发挥亚太引领作用 共促世界发展繁荣——在亚太经合组织工商领导人峰会上的书面演讲（2025年10月31日，庆州）中华人民共和国主席 习近平各位工商界代表，女士们，先生们，朋友们：很高兴再次到访历史古城庆

【情报】美国在巴基斯坦资助的机构和项目

今天给大家推送美国国际开发署和民主基金会、福特基金会等机构在巴基斯坦资助的机构和项目： Organization机构部分项目AGA KHAN FOUNDATION阿迦汗基金会SATPARA开发项目(S

Windows远程桌面的奇技淫巧

前言• Windows远程桌面简介远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)• 远程桌面的前置条件在获取权

【免费领】CISSP认证考试权威参考题库（850多道）

点击蓝字/关注我们今日福利网安人升职加薪必备850多道CISSP认证考试权威参考题库助你顺利通过认证考试，走上人生巅峰限时福利，请及时领取哦 ~长按识别下方二维码，回复“1031”，免费领取~（限7

技术闲谈之汽车网络安全

点击上方蓝字谈思实验室获取更多汽车网络安全资讯伴随着“软件定义汽车”的趋势，车内的软件占比越来越大，在运行时确定具体行为的部分越来越多，“网联化”又使得车内与外界的联系越来越紧密，“网络安全”这座大冰

突发！荷兰安世向中国断供晶圆！

点击上方蓝字谈思实验室获取更多汽车网络安全资讯据报道，安世半导体致客户的信函显示，该公司已暂停向其中国封装厂供应晶圆，此举可能加剧全球汽车制造商担忧的供应紧张局面。这封日期为10月29日的信函由安世半

甘李药业信息技术部总监确认「MediSec 大会」分享：以“三位一体”固防线，制药企业的安全运营标准化实践之路

点击上方蓝字谈思实验室获取更多汽车网络安全资讯12月18-19日，由北京市海淀区卫生健康委员会指导，谈思实验室和谈思汽车联合举办的「MediSec 2025中国医疗网络数据安全技术与合规峰会」将在北京

附PPT下载 | 恩智浦：软件定义、功能安全及信息安全在全新汽车以太网解决方案中的同步实现

点击上方蓝字谈思实验室获取更多汽车网络安全资讯10月23日，谈思汽车在上海举办的 “汽车以太网及车载光通信技术论坛”圆满落幕。本次活动邀请到了来自北京邮电大学、是德科技、中汽创智、NXP、烽火通信、一

十月三大攻击事件，造成2600万美金损失

10月TOP 3 攻击事件一览 私钥泄漏: 约2100万美元2025年10月9日，HyperLiquid 上的一个交易账户因私钥泄露，造成损失约2100万美元。受损账户的资产通过多笔交易被转

微信 x TSRC专项众测冲刺｜百万奖池火力全开！单洞赏金最高12万！

诚邀您，与我们一起，让连接更安全。微信的使命，是连接每一个人。而安全，是这一切连接得以稳固的基石。为了守护数亿用户在这方天地里的每一次交流、每一笔支付、每一次服务获取，微信团队联合TSRC，正式启动专

APT-C-60（伪猎者）的近期活动分析与技术演进

APT-C-60 伪猎者APT-C-60（伪猎者）是一伙以持续监控受影响用户、窃取相关信息为目的朝鲜半岛APT组织。我们于2018年发现该组织的活动，溯源分析最早的攻击活动可疑追溯到2014年。受影

【年终冲榜马拉松】倒计时30天，OSRC年终盛典蓄势待发

OSRC年终冲榜马拉松距离OSRC年度积分结算仅剩最后 30 天年终冲榜马拉松活动正式上线！无复杂规则，提交有效漏洞即享额外奖励助力你冲刺年度 TOP10解锁万元现金奖励和OPPO产品大礼包还有颁奖典

OpenAI安全框架被提示注入攻击背后：AI安全防护需“三位一体”

引言随着AI代理应用的爆发式普及，安全护栏已成为企业防止模型生成有害内容、保护敏感数据的核心机制。然而，当安全框架本身依赖AI模型构建时，其防御能力便陷入"模型自我监管"的致命困境——OpenAI在D

安全热点周报：黑客劫持企业 XWiki 服务器进行加密货币挖矿

安全资讯导视 • 网络安全法完成修改，自2026年1月1日起施行• LG Uplus承认发生数据泄露，韩国三大电信巨头相继失守• 惨烈！英国国防部一数据泄露事件已致49人死亡PART 01漏洞情报1.

【漏洞通告】Docker Compose OCI路径遍历漏洞 CVE-2025-62725

漏洞名称：Docker Compose OCI路径遍历漏洞 (CVE-2025-62725)组件名称：Docker Compose影响范围：Docker Compose < 2.40.2漏洞类型：目录

安全简讯（2025.10.31）

1. 安永4TB敏感数据因云存储配置错误泄露10月29日，荷兰网络安全公司Neo Security近日披露，其首席研究员发现安永会计师事务所一个超过4TB的SQL Server备份文件因云存储桶配置错

【漏洞预警】Apache Tomcat路径遍历漏洞（CVE-2025-55752）

先关注，不迷路.免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文

可信数据空间研究与实践（下）

一绿盟科技可信数据空间方案设计4.1总体设计以“数据流通利用全流程可信可控”为目标，建设安全可控、互操作性强的可信数据空间数据流通利用基础设施，技术体系主要包括可信连接器和可信数据空间服务平台。可信连

【已复现】Windows SMB 服务器特权提升（CVE-2025-58726）：幽灵 SPN 与 Kerberos 反射攻击

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称Windows SMB 服务器特权提升漏洞漏洞编号CVE-2025-58726公开时间

【已复现】Ubuntu AF_UNIX 模块权限提升漏洞

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称Ubuntu AF_UNIX 模块权限提升漏洞漏洞编号LDYVUL-2025-0013

【火绒安全周报】网安国际公约签署仪式开幕/瑞典国家电网遭勒索

点击蓝字，关注+星标⭐精彩内容不迷路~01 网安国际公约签署仪式开幕当地时间10月25日《联合国打击网络犯罪公约》签署仪式在越南河内开幕。联合国秘书长与越南国家主席共同出席开幕式并致辞，并有近百个成员

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

Solar安全洞察 | 10月勒索态势月报：一个默认密码引发的系统雪崩

导读：10月，全球网络安全形势依然严峻，供应链攻击的阴影持续笼罩。本月，我们见证了 F5 源代码与未公开漏洞被窃取，引发了对其全球客户的潜在威胁；同时，Salesforce 生态系统也因第三方身份验证

N1CTF 2025 明晚8点，准时开赛