发现项目的swagger-ui未授权访问
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息
阅读全文SecMet#8期-网络流量安全研究漫谈—需求导向与系统工程
[SecMet]是安全学术圈近期打造的一个线上线下结合的学术研讨模式,研讨会分为全公开和半公开模式,其中半公开模式仅对安全学术圈内部交流群和特殊专题投稿人员参加,每期主题由当期领域主席(Primary
阅读全文一口气看懂DES漏洞和哈希特性
数学概率中的生日悖论和鸽巢原理,竟然在DES CBC分组密码的SWEET32漏洞、哈希函数的抗冲突属性中扮演着如此重要的理论支撑作用。非常得意第二个视频,一定要捧场哦!生日悖论,告诉我们23个人,可以
阅读全文这条重要防线需要你我共同构筑
当前,我国网民规模已达11.23亿人,互联网普及率达到79.7%,互联网在深刻改变中国人民与世界人民交往方式的同时,也在成为影响国家安全新的最大变量,网络安全的重要性愈发凸显。9月15日至21日是国家
阅读全文开发者小心了!GitHub Actions 里的暗坑与对策
天聊一个最近很火的 GitHub Actions 安全案例。别看它名字高大上,其实攻击思路挺直白:你写 CI/CD 脚本的时候没注意安全,攻击者就能顺着这条路,一步步把你的整个组织拿下。关于这件事的一
阅读全文【论文】NBIC 聚合技术视域下的认知战:致效关键、技术工具、启发和建议
文章来源:《情报杂志》网络首发论文摘要:[ 研究目的] 在 NBIC 聚合技术的视角下研究认知战的致效关键、“ 武器化”控脑工具以及在认知战中发挥的重要作用,为我国提早研判认知领域潜在风险和挑战,提高
阅读全文【高危漏洞预警】Spring Cloud Gateway 环境属性修改漏洞(CVE-2025-41243)
漏洞描述:该漏洞源于Sрrinɡ Clоud Gаtеԝау的SрEL表达式安全校验机制存在缺陷,攻击者可通过暴露的Aсtuаtоr端点通过修改系统属性如禁用 rеѕtriсtivе-рrореrtу
阅读全文新南威尔士大学 | 综述:解码加密网络流量分类器的谜团
原文标题:SoK: Decoding the Enigma of Encrypted Network Traffic Classifiers原文作者:Nimesha Wickramasinghe, A
阅读全文构建服务器安全纵深防御体系:从资产梳理到主动诱捕
“小王,我们的服务器好像被黑了!” 深夜接到这样的电话,是每一位运维和安全管理员的噩梦。匆忙上线,第一反应往往是:“我们到底跑了哪些业务?”“这个端口是谁开的?”“这个IP应该访问数据库吗?”…… 混
阅读全文桌面应用中的 Electron 研究(第一部分)
发现这个漏洞的故事这个漏洞背后的故事始于一次例行的漏洞搜索。当时我正在使用 Notable(一款极简的开源笔记应用,在 GitHub 上拥有超过 23.1k 个 star)记录我正在处理的目标任务,却
阅读全文一分钟看懂发哥最新的天玑9500处理器
相较于前代天玑9400,这代的超大核主频不再保守而是完全放飞——直接提升了16.3%!结合微架构的升级以及一级缓存容量的翻倍,这代的单核性能便迎来了32%的大幅提升。此外,这代CPU的三级缓存容量大幅
阅读全文重塑安全边界,共探智防新路径!「安全重构 智启未来」第十六期度安讲圆满落幕!
9月17日,由百度安全承办的2025 CCS成都网络安全技术交流活动分论坛,在成都顺利举办。本次沙龙以“安全重构 智启未来”为主题,汇聚行业专家、企业实践者与生态伙伴,围绕企业安全体系化治理、智能化转
阅读全文【安全圈】#美团崩了#
关键词美团9月22日消息,今日下午,“美团崩了”登上微博热搜,大量广东网友反映美团外卖页面出现异常,提示出错,部分用户无法进入商家详情页下单。有网友调侃称:“台风要来了,大家都在疯狂囤菜囤物资,骑手都
阅读全文【安全圈】英国军情六处上线暗网平台“Silent Courier” 供俄罗斯人安全分享情报
关键词silent courier9月19日,英国对外情报机构军情六处(MI6)宣布上线全新暗网平台“Silent Courier(寂静信使)”,为潜在情报提供者打开一条安全的联络渠道。该平台运行在暗
阅读全文【安全圈】大规模网络攻击:黑客利用 GitHub Pages 投放 Atomic Stealer 针对 macOS 用户
关键词网络攻击近日,安全研究人员披露了一起针对 macOS 用户的大规模网络攻击事件。攻击者滥用 GitHub Pages 作为投放平台,通过伪装的软件下载页面分发臭名昭著的 Atomic Steal
阅读全文【安全圈】CVE-2025-55241:微软补丁堵住 Entra ID 全局管理员伪造缺陷
关键词安全漏洞微软修复了一个影响其身份与访问服务 Entra ID(前称 Azure Active Directory)的严重漏洞,该缺陷允许攻击者在任意租户中冒充任意用户,包括全局管理员。该漏洞编号
阅读全文金秋九月,安全盛宴|绿盟科技与您相约第40次全国计算机安全学术交流会
// 第40次全国计算机安全学术交流会将于2025年9月25日在天津隆重召开。本次大会由天津市公安局指导,中国计算机学会主办,计算机安全专业委员会、国家计算机病毒应急处理中心、绿盟科技集团联合承
阅读全文长臂管辖?中国网安公司被美国司法部、国家安全局、FBI集体扣押
访问域名i-soon.net发现是FBI页面标题THIS WEBSITE HAS BEEN SEIZED(这个网站已经被扣押)翻译后根据美国纽约南区联邦地方法院根据发布的扣押令,该域名已被扣押,作为联
阅读全文欧洲数个重要机场多天连续出现航班中断:因关健供应商被黑
关注我们带你读懂网络安全比利时布鲁塞尔机场、英国伦敦希思罗机场、德国柏林勃兰登堡机场三家重要机场持续受影响,其中布鲁塞尔机场连续4天出现大面积航班中断,情况未见好转。前情回顾·全球航空业网络威胁态势俄
阅读全文美国智库建议美国打破网络战略体系僵局并建立整体框架
编者按美国战略和国际研究中心(CSIS)9月4日发表题为《赢得网络战的攻略:评估美国网络战略》的报告,概述了美国网络战略、网络战略的核心要素、网络能力布局,研究了美军针对“伊斯兰国”的网络作战行动案例
阅读全文Cake工具评测:资产收集能力远超OneForAll,附魔后更是强得无边
前言在红队行动中,资产收集是否全面、是否高效,常常会直接影响后续的工作成效。Cake正是在这方面表现突出的一款工具,帮助我们更好地完成资产收集。要怎么做?只需输入公司名或域名,一键完成自动化资产收集与
阅读全文数据库成为突破口:勒索软件攻击暴露的Oracle服务器
网Yarix事件响应团队(YIR)发布了一份针对性入侵的深度分析报告,攻击者利用暴露的Oracle数据库调度程序功能获取了企业基础设施的访问权限。Part01攻击始于数据库暴力破解攻击最初表现为针对O
阅读全文Unicode漏洞“BiDi Swap”十年未修复,仍被用于实施网址欺骗
Varonis威胁实验室团队发布了一份令人警醒的报告,揭露现代浏览器处理混合文本方向时存在的一个持续十年以上的漏洞。这种被称为BiDi Swap的缺陷,允许攻击者伪造看似合法实则暗中重定向受害者的欺诈
阅读全文攻击者利用GitHub Pages向macOS用户大规模投放窃密木马
网络安全研究人员发现一起针对 macOS 用户的复杂网络攻击活动,攻击者利用 GitHub Pages 分发臭名昭著的 Atomic 窃密木马。该攻击团伙通过搜索引擎优化(SEO)技术,使恶意代码仓库
阅读全文记一次通用sql注入的简单挖掘
前言下午没课,找了几个资产,看了一下,运气还可以出货了。测试过程在导出的资产里面点了几个看到了这个资产,输入用户名,存在不存在有明显提示,可以枚举,但是没找到弱口令。在用户名后面加了一个单引号直接报错
阅读全文诸子云知识星球:史上最强福利纳新,限时加入即刻尽享!
9月开学季,网安不躺平!要搞攻防、修漏洞,还得会管理、懂政策?别慌,安在新媒体推出史上最强福利!即日起至10月底,加入/续费“诸子云知识星球”,不仅直接送你一整年的网安“学习外挂”,更有机会获得价值3
阅读全文Unicode漏洞“BiDi Swap”十年未修复,仍被用于实施网址欺骗
近日,Varonis 威胁实验室团队发布了一份令人警醒的报告,揭示了现代浏览器在处理混合文本方向时存在的一个已持续超十年的漏洞——BiDi Swap。该漏洞使得攻击者能够精心构造看似合法的欺骗性 UR
阅读全文