WebRTC型支付盗刷脚本技术分析
全球首例利用 WebRTC 数据通道作为核心通信信道的支付盗刷恶意脚本在近期被公开,该脚本成功绕过一家市值超千亿美元车企的全链路安全防护,完成恶意载荷注入与支付数据窃取。本次攻击并非孤立事件。过去两个
阅读全文【高危AI漏洞预警】vLLM远程代码执行漏洞 (CVE-2026-27893)
漏洞描述:vLLM是一个用于大语言模型(LLMѕ)的推理和提供服务引擎,从版本 0.10.1开始直到版本0.18.0之前两个模型实现文件在加载子组件时硬编码了`truѕt_rеmоtе_соdе=Tr
阅读全文全国50城巡装加速!360安全龙虾巡装宁波站圆满收官
全国50城巡装03.27 宁波3月27日,宁波——随着AI智能体加速走进千行百业,360安全龙虾全国巡装热潮再添新站。今日,“AI Open Day・宁波龙虾大会” 在宁波成功举办。作为全国50城巡回
阅读全文【安全圈】挥刀“斩”Sora!OpenAI在下什么棋
关键词服务关停3月25日凌晨,OpenAI宣布关停旗下视频生成产品Sora,停止其视频生成应用以及Sora 2模型API服务。同时,原本高达10亿美元的迪士尼合作也一并终止。作为曾被视为AI视频生成代
阅读全文【安全圈】这个APP突然崩了,官方紧急回应!有人急哭,网友:怀疑过手机都没怀疑你
关键词服务崩溃有不少网友在社交平台发文称,百词斩莫名出现“网络错误”“学习数据上传失败无法加载日历”等提示,为此,有网友蹲在路由器旁不停刷新,可依然无法正常进行学习打卡,“重启手机,重连网络,把百词斩
阅读全文【安全圈】“好评回访” 竟是骗局!8 万条住宿信息遭泄露
关键词信息泄露“您好,我是某宾馆前台,给您做个入住回访,麻烦您在平台给个好评吧。”“您的差评对我们影响太大了,删了下次给您打折。”一些消费者在退房后,会接到这样的电话。这些看似正常的“好评请求”,背后
阅读全文防范新型网络战!印度启动全国摄像头安全检查行动
关注我们带你读懂网络安全此次排查不仅涵盖军营、火车站等敏感区域,还将扩展至主要城市的主干道路及战略通道,并进行安全检查;长期目标是确保所有摄像头均处于安全机构的知情与监管之下,推动建立全国统一的监控摄
阅读全文十九载深耕铸剑,绿盟科技携AI安全全景方案亮相2026 RSAC
作为全球网络安全领域风向标,RSA Conference(RSAC)于2026年3月23日-26日在美国旧金山盛大举行,本届大会以“The Power of Community Starts with
阅读全文SSRF 防御:从 AOP 到 ProxySelector 的纵深防御
点击蓝字 关注我们 在传统Web漏洞中,SSRF(服务端请求伪造)往往是攻击者渗透内网的「跳板」,传统的代码级校验在防御DNS 重绑定(DNS Rebinding)攻击时显得力不从心。本文
阅读全文深度拆解 IRify 性能优化2.0:从能跑到稳快省的全路径重构
先说几个最直观的结果。在真实目标 spring-cloud-netflix 上,这一轮 CodeScan 调优过程中的观测值,从 10.08s 降到了 5.59s。在 SSA 指令搜索这条线上,sfv
阅读全文知道创宇受邀参加开放代理式人工智能基金会成立大会,分享企业安全可控使用AI应用实践
3月26日,开放代理式人工智能基金会(OAAIF)成立大会暨“灵虾计划”智能体创客论坛在上海举行。作为中国首个开放代理式 AI 基金会,OAAIF 的成立受到行业广泛关注。大会围绕推动智能体技术开放协
阅读全文OpenAI重金悬赏AI滥用漏洞,50%复现即算有效
OpenAI宣布启动一项公共安全漏洞赏金计划(Safety Bug Bounty),旨在识别其产品中存在的AI滥用行为和安全风险。该计划托管于Bugcrowd平台,标志着该公司在应对传统安全漏洞范畴之
阅读全文Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS提示注入
网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞,攻击者只需诱使用户访问特定网页即可触发恶意提示注入。Part01漏洞原理分析Koi Security研究员Ore
阅读全文新型开源供应链攻击,虚假npm安装日志暗藏RAT木马
Part01攻击概述安全研究人员发现一场精心策划的新型软件供应链攻击正通过 npm 包注册表针对开发者,攻击者利用虚假安装日志掩盖恶意活动。这项被命名为"幽灵行动"(Ghost campaign)的攻
阅读全文思科安全防火墙漏洞可导致攻击者以root权限远程执行代码
思科发布紧急安全公告,披露其安全防火墙管理中心(Secure Firewall Management Center,FMC)软件存在一个高危漏洞。该严重漏洞允许未经身份验证的远程攻击者以完整 root
阅读全文用小程序跳转工具测未授权和越权思路
字数 611,阅读大约需 4 分钟前言我的朋友最近在用大模型写小程序,但作为白嫖用户的他,把免费的额度用完了,于是就把心思打到了我的头上,让我帮他跑。我看着小程序里的跳转链接,想到了之前聊过的小程序
阅读全文慢雾:Web3 安全年框服务全面升级
背景在 Web3 的世界里,安全从来不是一个可以被打勾完成的“任务”,而是一场没有终点的马拉松。但过去很长一段时间,行业对“安全”的理解,依然停留在一次性审计的旧范式之中——通过某个时间点的代码检查,
阅读全文手游逆向全流程复盘:从 IL2CPP Dump 到 TCP 握手协议还原
本文记录了对某款基于 Unity 引擎(IL2CPP 编译)手游的完整逆向分析过程,涵盖运行时 Dump、网络协议识别、加密逻辑还原、握手流程分析,以及隐藏在脚本引擎中的业务逻辑挖掘。文章以过程复盘为
阅读全文新型“PXA”窃密木马来袭:专盯银行与加密货币,邮件是主要传播途径
近期,一种名为“PXA”的新型恶意软件正悄然活跃,尤其针对金融行业用户和加密货币持有者发起攻击。网络安全公司CyberProof监测发现,2026年第一季度,与此木马相关的攻击事件激增了约10%。为什
阅读全文Linux pwn 探索篇
想要在CTF比赛中游刃有余地完成PWN赛题,带领团队独当一面吗?想在二进制安全领域打牢地基,为今后的安全生涯建立强有力的后盾支撑吗?热爱二进制安全的学生及安全从业者们有福啦!平台最新打造课程《CTF
阅读全文AISS社区案例库开放:欢迎社区共建
引言AISS(AI Safety And Security)绿盟大模型安全智链社区自2024年底上线以来,搭建起一个开放共享的AI安全知识平台。社区以“AISS大模型安全风险矩阵”为核心,构建知识库,
阅读全文每周蓝军技术推送(2026.3.21-2026.3.27)
内网渗透Krb5RoastParser:从pcap文件中解析Kerberos数据包并提取AS-REQ、AS-REP和TGS-REP哈希https://github.com/jalvarezz13/Kr
阅读全文【公益译文】2026年国际AI安全报告(二)
往期推荐:2026年国际AI安全报告(一)1.6.2030年AI发展前景:经合组织(OECD)的情景分析针对当前AI的发展趋势和不确定性,经合组织基于专家意见和实证进行了情景分析,探讨了到2030年A
阅读全文AES加解密流程及实现
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01AES加密对于现代密码学来说,如果从秘钥的数量划分可以分为对称密码学和非对称密码学,对称加密只使用一把秘钥加解密,非对称加密则通过公钥和私钥两个秘钥加
阅读全文UDS诊断服务浅析:参数、功能与应用
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01子功能子功能(Sub-Function, SF)是特定UDS服务下的进一步细分的指令,用于指定同一服务下的不同的操作模式或类型。在诊断请求中紧跟服务I
阅读全文【免费领】全网收录最全:Web漏洞检测及修复方案手册
点击蓝字/关注我们今日福利网安学习从业必备工具书收录最全的Web漏洞检测及修复手册覆盖众多类型漏洞,提供大量案例方法限时福利,请及时领取哦 ~该资料内容较多,以下为节选的部分目录:长按识别下方二维码,
阅读全文骂消费者是“狗”?罗技道歉了,但网友不买账!
一句“我一降价,你还不是像狗一样跑过来”,让外设巨头罗技彻底翻车,登上热搜。3月26日晚,罗技中国紧急发布致歉声明,就抖音“罗技G官方旗舰店”发布的侮辱性广告内容,向所有玩家和用户道歉。声明将锅甩给“
阅读全文