雷神众测漏洞周报2026.1.5-2026.1.11

摘要以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播

【论文分享】从混乱到清晰：面向安全分析的综合性JavaScript反混淆

一、当恶意代码穿上”隐身衣”：JavaScript混淆的现实威胁打开一个可疑的JavaScript文件，你可能会看到这样的代码：这不是乱码，而是攻击者精心设计的”隐身衣”——JavaScript代码混

TLS协议深度解析：从SSL到TLS 1.3的网络安全演进之旅

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01从SSL到TLS的演进之路1.1 创世纪：网景与SSL的诞生1994年，网景公司（Netscape）意识到，如果要让电子商务在互联网上蓬勃发展，就必须

“二搭”董修惠 王胜利将回归一汽-大众出任商务副总经理

点击上方蓝字谈思实验室获取更多汽车网络安全资讯继董修惠从一汽丰田回归一汽-大众汽车有限公司履新总经理后，近日，中国经济网获悉，王胜利也将从一汽股份回归一汽-大众，出任商务副总经理。2015年7月至20

附PPT下载 | 谈思AutoSec新春沙龙德勤：AI上车的安全合规分析与实践

点击上方蓝字谈思实验室获取更多汽车网络安全资讯1月7日，由谈思汽车及德勤中国联合主办的“汽车AI安全与出海合规专题沙龙”在上海圆满落幕。这场开年活动直击产业核心痛点，锚定前沿技术落地应用，与行业伙伴共

曝苹果买OPPO折叠屏拆机：首发无折痕折叠机还看Find N6？

今年九月份将会发布的 iPhone Fold 即苹果旗下首款折叠屏手机，虽然此前有消息称其将会实现无折痕的设计，但在预研阶段却被定焦数码爆料出“折痕依然存在”。爆料还表示，苹果买了OPPO Find

云文件共享平台逐渐成为企业数据盗窃攻击的目标

网络犯罪团伙Zestix正对外兜售从数十家企业窃取的核心数据，其入侵途径疑似为攻破这些企业的ShareFile、Nextcloud及OwnCloud云存储实例。据分析，攻击者的初始访问权限，可能是通过

嘶吼快讯|网安厂商动态汇（第3期）

聚焦网安厂商最新动作，整合新品发布、战略合作、技术升级等核心动态，省去碎片化信息筛选时间，1 篇GET网安厂商近期关键动作！网安厂商最新动态观安信息蝉联“中国网络安全前二十家企业”近日，中国互联网协会

继本田供应商后，日产汽车遭勒索攻击：大量经销商与车主索赔数据被公开

1.导语前段时间，我们刚分析过本田和日产的一级供应商 Unipres 遭遇勒索导致工厂图纸泄露的事件：拒付 15 BTC 赎金后，本田日产一级供应商Unipres Alabama 数据被勒索组织公开。

你的智能挖洞搭档，已上线！| 蛙池AI内测邀请码派送中

初级白帽想 0 基础入门渗透测试，该选什么？中高级白帽想借 AI 快速挖洞提效，该用什么？资深白帽想深化漏洞研究破局，该靠什么？当然是蛙池 AI！渗透、分析、报告、协作，一条龙全自动。你的漏洞，蛙池A

死了么APP抄袭实锤？ 年轻人敢想敢干、躬身入局

“死了么APP”蹲大厂抄袭，随后被指抄袭的来龙去脉。一、死了么APP官微：期待抄袭1 月 12 日 15:17，死了么APP 官微发文，“也共同期待一下，哪个大厂会第一时间抄袭”。二、被指抄袭两年前的

黑客信息收集思路大总结(太干了)

当我们进行信息收集的时候，可能我们获取到的是一个域名或者公司名称或者一个IP等等，在这种情况下我们需要就需要针对不同的信息来进行下一步操作。 那么我们根据得到的不同信息来分开讲解应该怎么进行下一步收集

4 个月超9.1万次攻击，AI基础设施成自动化攻击新靶标

人工智能正以前所未有的速度融入各类业务系统，但与此同时，AI基础设施也正在成为自动化攻击和安全探测的新目标。近期，威胁情报机构GreyNoise披露，其部署的Ollama大模型蜜罐在2025年10月至

八招攻破Claude Code权限模型

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

每日安全动态推送(26/1/13)

• RIOT OS 2026.01-devel-317 中 RIOT ethos 串行帧解析器的栈缓冲区溢出漏洞https://seclists.org/fulldisclosure/2026/Ja

XML陷阱：Struts 2关键漏洞CVE-2025-68493暴露数据

威胁简报恶意软件漏洞攻击网络最流行的Java框架之一的底层出现了一个新的漏洞。ZAST.AI的安全研究人员发现Apache Struts 2中存在一个“重要”级别的漏洞，并警告称该漏洞可能允许攻击者窃

通过 Bitlocker DCOM 接口和 COM 劫持进行横向移动

通过 Bitlocker DCOM 和 COM 劫持进行横向移动。横向移动的概念证明 (PoC) 滥用了这样一个事实，即某些配置的 COM 类INTERACTIVE USER将在当前登录用户会话的上下

CVE-2025-60188-Atarim-插件-漏洞利用

威胁简报恶意软件漏洞攻击CVE-2025-60188：Atarim 插件身份验证绕过漏洞（通过 HMAC 伪造）概述 本仓库包含针对 CVE-2025-60188 的概念验证 (PoC) 和技术分析。

Telegram曝隐藏漏洞,1次点击绕过代理暴露用户真实IP, Android和iOS均中招

将二进制空间安全设为"星标⭐️"第一时间收到文章更新事件背景Telegram 移动客户端中存在一个隐蔽漏洞, 攻击者只需一次点击就能看到用户的真实IP地址, 甚至包括使用代理隐藏身份的用户。该漏洞被称

jeecgBoot漏洞利用工具

jeecgBoot漏洞利用工具简介swing练手项目，目前支持queryFieldBySql Freemarker模板注入、testConnection JDBC 远程代码执行漏洞工具使用queryF

大华综合漏洞利用工具

大华综合漏洞利用工具 没事写个工具，程序采用java开发，环境JDK 1.8 声明：仅用于授权测试，用户滥用造成的一切后果和作者无关 请遵守法律法规！https://www.oracle.com/ja

2500 美元，能买到多少“国家秘密”？800 万份政府记录疑似在黑客论坛售卖

高危漏洞 紧急修复指南 RCE Patch 黑客正兜售一批据称是与亚美尼亚政府相关的海量数据，埃里温官方已针对这起数据泄露事件启动调查。推测e化名为dk0m的数据售卖者声称，已侵入一个用于发布官

redex中文技术手册

redex中文技术手册本手册是一本redex工具Pass使用入门的技术指南。本手册由非虫通过redex官方文档与源码分析进行整理，原版权归原facebook。禁止任何商业演绎与违法使用的行为！学习移动

美国网络司令部在“绝对决心行动”中角色（三）

有些奇怪，2026年1月12号，美退役海军少将马克·蒙哥马利表示：“美国在此次行动期间运用网络作战手段，在加拉加斯关掉了灯光。”原话如下：委内瑞拉的这次行动标志着美国进攻性网络能力公开讨论的一个分水岭

一款专为安全测试人员打造的 Web 化被动漏洞扫描平台

免责声明本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵

EDUSRC × T00ls 达成战略合作，开启“精英白帽”进阶直通车

致各位白帽子：为了进一步促进网络安全技术的深度交流，打通“实战挖掘”与“技术研究”的壁垒，我们非常荣幸地宣布：EDUSRC（教育漏洞报告平台） 与 T00ls（土司安全社区） 正式达成深度战略合作！

每天免费3个授权码eyJkYXRhIjoiZXlKdFlXT

越权和敏感信息泄露所导致的高危

正文第一个主要漏洞（漏洞 A）// 强制让乘客接受行程第一阶段 当司机（rider/driver）向乘客报价时，客户端会向 /api/driverrequest 发送一个请求。从这个请求中，攻击者可以

AI 赋能，共赴山海：安恒信息2025年度人才培养回顾

点点赞点分享点喜欢点击下方名片立即关注不走丢哦！往期精彩回顾“路由器”和“数由器”：一字之变，开启数据可信流通新时代2026-01-12划重点|事关AI拟人化互动！国家网信办发布最新办法公开征求意见2

安恒信息获CCIA“2025年度先进会员单位”

近日，中国网络安全产业联盟（CCIA）正式发布2025年度表彰决定。为表彰过去一年中对联盟工作及产业发展做出积极贡献的会员单位及个人，经CCIA秘书处提名、常务理事会审议批准，安恒信息凭借其行业贡献、