华为重夺中国手机市场第一名！苹果依靠“牙膏挤爆”稳居第二

自从华为受制裁之后，从2021年开始到2025年，中国手机市场的第一名基本都被vivo焊死，只有2023年是苹果位居榜首。而华为熬过了这五年“寒冬”期后，也终于在麒麟回归两年多后迎来了收成期！当然，华

APT | “金眼狗”组织水坑网站攻击活动

概述“金眼狗”是一个东南亚方向的，从事博彩、狗推相关人员以及海外华人群体的黑客团伙，其业务范围涵盖远控、挖矿、DDoS攻击等。该团伙通过部署爱思助手、快连VPN、QuickQ等仿冒网站，使用SEO排名

【漏洞通告】Apache Struts XML外部实体注入漏洞（CVE-2025-68493）

漏洞名称：Apache Struts XML外部实体注入漏洞(CVE-2025-68493)组件名称：Apache-Struts影响范围：2.0.0 ≤ Apache Struts ≤ 2.3.372

微软补丁日安全通告|1月份

2026年1月14日（北京时间），微软发布了2026年 1月安全更新，共发布了115个CVE的补丁程序，比上月增多了45个。在漏洞安全等级方面，存在8个标记等级为“Critical”的漏洞，57个漏洞

网络安全信息与动态周报2026年第2期（1月5日-1月11日）

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威

【安全圈】河南省考报名系统高峰时段崩溃

关键词服务器崩溃 全球社交平台 X 昨晚遭遇大规模宕机，根据网络中断追踪网站Downdetector.com统计，数以万计的用户无法登录，所幸目前情况已趋于缓和。这波宕机高峰出现在美东时间上午 9 点

【安全圈】男子 3 个月内 25 次入侵美国最高法院电子文件系统，将出庭认罪

关键词黑客 据 TechCrunch 报道，美国田纳西州斯普林菲尔德市一名居民，预计将承认在几个月内数十次入侵美国最高法院的电子文件提交系统。据一份法庭文件显示，检察官指控 24 岁的尼古拉斯・穆尔（

【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用

关键词漏洞 微软在2026年1月13日的"补丁星期二"更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。该漏洞编号为CVE-2026-208

【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥

关键词恶意程序 网络安全研究人员近日披露了一款恶意Google Chrome扩展程序的详细信息。该扩展程序伪装成自动化交易工具，专门窃取与MEXC交易所相关的API密钥。MEXC是一家业务覆盖170多

直面AI安全挑战：新时代系统合规的解决方案

随着江苏省《“人工智能+”行动方案》的全面启动，各大行业正以前所未有的力度拥抱AI。方案明确提出，到2027年，新一代智能终端、智能体等应用普及率要达到70%以上；到2030年，产业规模要超万亿元。智

朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

Part01内鬼威胁的演变近年来，网络安全格局发生了根本性转变，内部威胁的定义不断演进。过去数十年间，企业安全工作的重点一直是防范心怀不满的员工或疏忽大意的承包商泄露敏感数据。而如今，最具危害性的内部

黑客利用"浏览器套浏览器"技术窃取Facebook用户登录凭证

Facebook用户正日益成为一类能绕过常规安全措施的复杂钓鱼技术的攻击目标。作为拥有超过30亿活跃用户的平台，Facebook对企图入侵账户、窃取个人凭证的攻击者极具吸引力。这类攻击的主要目的十分明

伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序

网络安全公司CloudSEK披露，与伊朗有关联的高级持续性威胁组织MuddyWater近期在针对以色列和中东其他国家的间谍活动中，部署了基于Rust语言的恶意植入程序。Part01RustyWater

恶意Chrome扩展窃取钱包登录凭证并实施自动化交易

一款名为 MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新

Nessus插件开发实战：从零开始编写高效漏洞扫描脚本

网安引领时代，弥天点亮未来 0x00前言描述需要寻找一个能长期维护自己编写POC的框架，要求具备端口扫描、服务识别、指纹探测和POC扫描功能。尝试过不少免费框架，但都不太理想：要么存在较多BU

ιldb 脚本 —— 你才叫 lldb，我叫 "约塔 ldb"

概述ιldb 是一个基于 LLDB 的调试脚本工具，提供了多种便捷的调试命令和命令管理功能。它通过模块化设计，将常用的调试操作封装为简单易用的命令，并支持命令的保存、显示、删除和执行。如果这些命令的命

周五20点直播 | 想挖IoT漏洞？这个Tenda 0day案例你不能错过

﹀﹀﹀

恶意Chrome扩展伪装交易工具窃取MEXC交易所API密钥

网络安全研究员近日披露了一款恶意的Google Chrome扩展程序，该扩展程序伪装成一种自动化交易工具，专门窃取与全球性加密货币交易所MEXC关联的API密钥。MEXC是一家业务覆盖超过170个国家

【高危漏洞预警】Appsmith Origin验证漏洞(CVE-2026-22794)

漏洞描述:Aррѕmith是一个用于构建管理面板、内部工具和仪表板的平台,在1.93版本之前服务器会将请求头中的Oriɡin 值作为电子邮件链接的 bаѕеUrl,且未进行验证如果攻击者控制了Oriɡ

一篇易懂的CAN错误帧指南

点击上方蓝字谈思实验室获取更多汽车网络安全资讯CAN帧类型中，错误帧可能会经常听到，但又非常陌生。就我做多年软件开发经历，看到过位填充错误，但也没有去分析或解决过错误帧的案例。如果提到Bus off，

从低空到太空：中科数测研究院发现空间通信核心漏洞——直指 NASA 航天加密体系底层安全

点击上方蓝字谈思实验室获取更多汽车网络安全资讯当商业航天与卫星互联网以 “天基基建” 的身份锚定国家战略，空间系统的安全防线，正在成为大国竞争的隐秘战场。近日，中科数测研究院发现空间通信核心漏洞：直指

附PPT下载 | 谈思AutoSec新春沙龙火山引擎：汽车行业跨境出海合规实践及解决方案分享

点击上方蓝字谈思实验室获取更多汽车网络安全资讯1月7日，由谈思汽车及德勤中国联合主办的“汽车AI安全与出海合规专题沙龙”在上海圆满落幕。这场开年活动直击产业核心痛点，锚定前沿技术落地应用，与行业伙伴共

查找摄像头漏洞，黑客只需要一步

【免费领】社会工程之网络钓鱼攻击防范指南

点击蓝字/关注我们今日福利安全大佬防范钓鱼攻击经验干货大量真实案例，展示钓鱼攻击的各种手段详解钓鱼攻击中的心理学和技术工具限时福利，请及时领取哦 ~该资料内容较多，以下为节选的部分目录：长按识别下方二

泄露近60万患者健康信息，地方医疗检测机构赔偿超1500万元

关注我们带你读懂网络安全攻击者可能窃取了患者的姓名、地址、出生日期、医疗信息、健康保险信息等。前情回顾·网络安全事故和解赔偿电商巨头因数据泄露向用户赔偿超82亿元优惠券违规共享上千万患者健康数据，大型

美国防部认证并推广三大零信任网络安全解决方案

编者按美国防部正在识别和评估各种业界零信任解决方案，并在整个体系内推动相关符合标准的解决方案落地应用，未来还希望将零信任从信息技术领域扩展到运营技术领域。美国防部认为，如果不能完全阻止网络攻击，攻击者

绿盟科技大模型安全评估系统获权威机构认可

近日，国际数据公司（IDC）发布《中国大模型安全评估平台厂商技术评估》（Doc#CHC53839325，2025年10月）报告，绿盟科技凭借在大模型安全评估领域优秀的产品能力和解决方案表现，成功入选该

银狐后门——Python库压缩包篡改与Chrome伪装攻击分析

这是一个有趣的摘要本报告分析的银狐后门病毒样本源自卡饭论坛。其原理有趣，该病毒的ShellCode加载逻辑具有典型特征：借助pythonw.exe程序解压并执行库压缩包中.pyc文件的特性，且使用的是

2026-01微软漏洞通告

微软官方发布了2026年1月的安全更新。本月更新公布了112个漏洞，包含55个特权提升漏洞、22个远程执行代码漏洞、22个信息泄露漏洞、5个身份假冒漏洞、3个篡改漏洞、3个安全功能绕过漏洞、2个拒绝服

火绒小问答 ——「个人版」功能使用类top问题解答

尊敬的用户，您好！在使用火绒安全软件（个人版）的过程中，摄像头 / 麦克风保护提示、加密连接扫描错误弹窗等相关隐私与网络防护问题时常遇到，针对隐私设备保护提示设置、加密连接扫描错误弹窗处理这两个场景，