记一次实战因网络架构引发的源码审计

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立

CodeVulnScan 是一款基于正则表达式的代码安全审计工具，专为红队成员快速定位sink设计

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

sqlmap中10个Tamper脚本的高级实战技巧！

在渗透测试的实战中，WAF已成为我们进行SQL注入测试时必须面对的关键障碍。作为安全从业者，我们深刻理解sqlmap中Tamper脚本的价值——它们不仅是绕过WAF的利器，更是理解攻防对抗本质的绝佳

记一次攻防和产品对抗

1、前言本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容，涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等，针对整体的攻击过程进行相关总结

漏洞预警 | 7-Zip任意文件写入漏洞

0x00 漏洞编号CVE-2025-551880x01 危险等级中危0x02 漏洞概述7-Zip是一款免费开源文件归档应用程序，具有高压缩比，可用于压缩和解压文件，支持多种存档格式。0x03 漏洞详情

漏洞预警 | SmartBI远程代码执行漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述Smartbi是广州思迈特软件有限公司旗下的企业级商业智能和大数据分析品牌，致力于为企业客户提供一站式商业智能解决方案。0x03 漏洞详情

漏洞预警 | 索贝融合媒体内容管理平台XXE漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述索贝融合媒体内容管理平台是一款专为媒体行业设计的多功能内容管理系统，旨在实现媒体内容的高效管理、共享、发布与传播。0x03 漏洞详情漏洞类

工具 | Kernelhub

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介Kernelhub是一个聚合了windows提权漏洞的合集项目。0x

威努特带你专治医疗勒索威胁

Part.1为何勒索重点关注医疗行业当前，在全球范围内，勒索攻击频率呈现出急剧上升的态势，医疗行业受勒索软件的影响较为严重，占比达到16.56%，众多知名医疗机构也纷纷“中招”，从国内各类医疗中心到国

Vulinbox SQL 注入攻防实录：靶场通关与技巧拆解

接口路径：/user/limit/4/order1关键 Code：select * from vulin_users where (username LIKE '%a%') ORDER BY user

陈一新会见阿尔瓦雷斯

近日，国家安全部党委书记、部长陈一新在北京会见古巴共产党中央政治局委员、古巴内务部部长阿尔瓦雷斯。 陈一新表示，古巴是西半球第一个与新中国建交的国家，在两国领导人精心培育下，中古传统友谊不断加深，已成

抗战精神每日一学

转载请注明来源国家安全部微信公众号

黑客活动分子与僵尸网络推高DDoS攻击浪潮：2025年7月网络攻击态势分析

NETSCOUT最新分析报告显示，2025年7月期间，由僵尸网络驱动的分布式拒绝服务(DDoS)攻击呈现急剧上升趋势，每日攻击事件数以千计，且存在明显的黑客活动分子参与迹象。攻击规模与特征报告指出："

SRC专项圈子

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

【资料】趋势分析：以色列8200部队 – 基于开源情报的研究

目录1 引言 2 历史背景 2.1 独立前的情报单位 2.2 独立后的部队：前能力、任务、授权和技战术 2.3 赎罪日战争及其后果 3 运作背景 3.1 部队授权、活动和能力 3.2 归因和据称的行动

【通知】FCTS 2025网络犯罪打击治理实战技术研讨会诚邀参与

CCS 2025作为2025年国家网络安全宣传周成都系列活动的重要组成部分，将于2025年9月中旬在成都盛大启幕！作为2025年国家网络安全宣传周成都系列活动（CCS 2025）的核心组成部分，FCT

体制内外、甲乙双方网络安全领导的“四重战场”：四样人生、四个世界

题记：网络安全领导的岗位从无“最优解”，唯有“责任场”：体制内的“稳”，压着合规的千钧重担；体制外的“拼”，藏着生存的如履薄冰；甲方的“守”，炼就平衡的极致智慧；乙方的“忍”，恪守底线的孤勇坚持。恰好

一键账户接管

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会

第一届OpenHarmony CTF专题赛收官！天枢Dubhe战队夺冠！

2025年8月24日，第一届OpenHarmony CTF专题赛决赛在香港科技大学深港协同创新研究院成功举办。经过激烈的线上初赛，从566支战队、1307名选手中选拔出的15支顶尖CTF战队、60位优

最近跟jdbc有关的新知识——json篇

1，fastjson/jackson在越来越多的厂商意识到反序列化链的危害，并对传统CC/CB等链子进行封堵后，fastjson/jackson原生链已经成了主流链，于是围绕他们的攻防也开始了。以下这

流量管理、漏洞探测插件 - Brup_TLA

01 项目地址https://github.com/SharpKean/Brup_TLA/02 项目介绍项目描述TLA Watcher 主要由两个核心模块组成：流量管理模块 和 扩展功能模块，分别用于

黑客仅需简单短语即可绕过AI防护：ChatGPT-5降级攻击漏洞曝光

OpenAI最新旗舰模型ChatGPT-5存在关键漏洞，攻击者使用简单短语即可绕过其高级安全防护。Adversa AI研究人员将该漏洞命名为"PROMISQROUTE"，其利用了主流AI厂商为降低计

一周网安优质PDF资源推荐 | FreeBuf知识大陆

仅需10-15分钟，人工智能即可生成已公开漏洞的有效利用代码

最新研究表明，人工智能系统仅需10-15分钟即可针对新发布的通用漏洞披露（CVE）自动生成有效利用代码，每份利用代码成本约为1美元。这一突破性进展大幅压缩了防御者传统上依赖的"缓冲期"——即从漏洞公

CPU、MPU、MCU、SOC的概念与区别

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01概念1.1 CPU(Central Processing Unit)CPU(Central Processing Unit)，是一台计算机的运算核心和

PKI 体系快速了解

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01什么是 PKI首先，PKI（Public Key Infrastructure）是一个体系。公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，

奖项评选 | Parasoft基于汽车 AI 测试方案参评“第六届AutoSec Awards安全之星” | 专属投票通道开启

点击上方蓝字谈思实验室获取更多汽车网络安全资讯9月10-11日，由上海市普陀区科委指导、谈思实验室和谈思汽车主办的「AutoSec 2025第九届中国汽车网络安全周暨第六届智能汽车数据安全展」将在上海

谁是最终的王者？第一届全国大学生人工智能安全竞赛决赛榜单明日揭晓

全国大学生人工智能安全竞赛2025年8月23日，2025第一届全国大学生人工智能安全竞赛决赛在北京邮电大学拉开帷幕。竞赛旨在为选拔、推荐优秀人工智能安全专业人才，培养大学生的创新意识与团队合作精神，提

AI取证科技丨用LangExtract从非结构化电子证据中，获取结构化案件线索！

电子取证分析开示往往要从海量非结构化的电子证据（如电子邮件、聊天记录、文档、报告）中，筛选提取出与案件相关的信息，真个过程要耗费大量时间和人力。近期由谷歌开源的 LangExtract 就可以很好

回答一个关于 ViewState 反序列化的问题，感兴趣的朋友可以看一下

在 .NET 的运行机制中，ViewState 承担着保存控件状态的重要角色，这也是红队在渗透测试中常关注的攻击面之一。设计初衷是让页面在回传时能够恢复控件状态，因此每次请求中都会看到一个名为 __V