网安原创文章推荐【2026/5/15】
2026-05-15 微信公众号精选安全技术文章总览洞见网安 2026-05-15 0x1 终端隐形链:OSC 8超链接注入攻击Ghost Wolf Lab 2026-05-15 20:29:12
阅读全文【在野利用】CVSS 10.0!思科 SD-WAN 认证绕过漏洞已复现
Cisco Catalyst SD-WAN Controller 曝出认证绕过漏洞(CVE-2026-20182,CVSS 10.0),攻击者无需任何凭据,仅需构造特制的 DTLS 消息,即可绕过设备
阅读全文最贵的"断片":大学生嗑草改密码,11年后Claude顺手捞回35万美元
导语:2015年某大学生嗑大麻后改了比特币钱包密码,醒来忘了。5个BTC被锁11年,直到他找来了Claude——一个不是密码学家的AI。35万美元,11年牢狱,一场"断片"的终极代价。一场嗨掉的人生,
阅读全文18年潜伏Nginx RCE漏洞曝光 CVE-2026-42945
导语:2026年5月13日,安全公司Depthfirst借助其AI工具"Rift"发现了Nginx中存在长达18年的堆缓冲区溢出漏洞(CVE-2026-42945,CVSS 9.2)。该漏洞位于ngx
阅读全文Next.js曝出高危SSRF漏洞 CVE-2026-44578
导语:2026年5月11日,Vercel发布安全公告披露Next.js存在SSRF漏洞(CVE-2026-44578),CVSS评分8.6。所有自托管部署实例均受影响,攻击者无需认证即可通过特制Web
阅读全文node-ipc再遭投毒:npm供应链攻击第二波
导语:2026年5月14日,安全研究人员发现node-ipc的三个npm版本已被植入恶意代码,与2023年首发的那次类似,本次仍是账户劫持路径——攻击者获取了一个已注销邮箱域名后重置账户密码,直接发布
阅读全文富士康多家工厂遭勒索攻击,8TB超千万份客户敏感文件疑被窃取
富士康美国多家工厂在上周断网停产多天后有了新的进展,Nitrogen勒索软件在暗网博客宣称对此负责,称从该公司窃取了8TB超千万份客户敏感文件,至少部分与谷歌有关;富士康确认遭受网络攻击,正在努力恢复
阅读全文AI 驱动的红队免杀知识库 | Webshell 免杀、WAF/RASP/EDR 绕过、流量伪装等实战Tips
这是什么AI Redteam Notes这是一个 AI 辅助生成 的红队对抗技术笔记仓库。内容涵盖 Webshell 免杀、WAF/RASP/EDR 绕过、流量伪装等实战技术点。所有内容均由 AI 根
阅读全文学了一堆理论还挖不到漏洞?SRC / 众测 / 护网攻防全能挖洞实战课!
❝神农SRC 漏洞挖掘实战课课程培训已经快四个月了,期间有很多师傅们都来报课学习,很多师傅听到我开课,课表都没看,直接转账支持课程的,也是非常感谢🙏大家的支持!课程内容和质量请师傅们放心!课程价格虽然
阅读全文【生物战】汉坦等人畜共患疾病有无可能是基因编辑技术的产物?
最近,新闻里出现了两条关于邮轮病毒的消息:一条是“极地探险邮轮暴发汉坦病毒,已致3人死亡”;另一条是“加勒比公主号上百名乘客感染诺如病毒,呕吐腹泻”。汉坦病毒导致的人际间传染疾病,因其较高致死率,引发
阅读全文红队神器|Vue 站点未授权漏洞一键挖掘 -v2.0
介绍这是一个专为红队人员开发的浏览器插件,用于分析Vue网站的路由结构,并绕过路由守卫,从而发现站点的隐藏资产与未授权访问漏洞。本工具已多次在攻防、SRC挖掘场景中出货。V2.0更新新增“梭哈”模式(
阅读全文AI Agent的技能包正在成为新的攻击面
2026年5月,算泥社区发布了一份《Agent Skills技术与安全白皮书》,系统梳理了AI Agent技能体系的技术架构、攻击方法和防御方案。目前国内聚焦Agent Skills安全的公开研究不多
阅读全文大力出奇迹—从目录爆破到getshell
0x01 获取备份文件1、对目标站点进行目录扫描没有什么收获,只有一些403,但是总感觉这里会有东西,于是我又重新fuzz了一下目录,把目标的公司名缩写加在了目录名中,果然大力出奇迹,获取到了一个备份
阅读全文高价招募护网简历,学生社会都可以
一、核心定位维度内容目标人群红队渗透手、蓝队防御工程师、安全运营、想转型的开发/运维、应届生核心痛点缺实战经验、简历没亮点、收入天花板低、想进大厂没门路核心卖点国家级实战背书 + 月结高薪 + 技能速
阅读全文AI编程智能体-DeepSeek TUI终端(使用教程)
APK逆向分析工具V1.2APP逆向分析工具V4.5APK安全加固平台V5.2Android so逆向分析工具Python逆向分析工具V2.5Unity手游无Root注入工具Android病毒分析工具
阅读全文在元首掌舵领航下,共同开创中美关系美好未来
应国家主席习近平邀请,美国总统特朗普于5月13日至15日对中国进行国事访问。这是中美两国元首继去年10月韩国釜山之后再次面对面会晤,也是美国总统时隔9年再次访华。访华期间,习近平主席同特朗普总统就事关
阅读全文Hermes的应用(七):分析DirtyFrag(CVE-2026-43284)高危漏洞Poc
这两天,网上爆出个Linux的本地提权的漏洞DirtyFrag,找到了Poc,直接上Hermes分析。1、查看本机的情况,得出:2、让它分析下poc的原理:一句话总结:dirtyfrag 利用网络协议
阅读全文在地下_马识途_摘录(9)
P625 特委书记蒲华辅被捕叛变后,我坚持留在成都领导疏散工作,已经快半个月了。虽然经历了几次险些被捕的危险,但总算把疏散工作有条有理地做了,一切可能的组织漏洞都堵塞了起来,再也没有听到地方组织有人
阅读全文HDD固件攻击【上】
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文HDD固件攻击【下】
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。分析固件接下来的步骤将是这项工作中最困难的
阅读全文天锐绿盾审批系统findOnlineUserForPage.do接口存在信息泄露漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【红队工具】SOAPy--SOCKS5代理与ADWS进攻性交互
本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!工具介绍SOAPy 是一款概念验证(PoC)工具,通过 SOCKS5
阅读全文国际认可 | 绿盟科技入选Gartner®《网络威胁情报技术魔力象限》远见者象限
// 2026年5月4日,国际知名研究与咨询机构Gartner®发布Gartner® Magic QuadrantTM for Cyberthreat Intelligence Technolo
阅读全文威胁情报|node-ipc 遭供应链入侵投毒攻击分析
背景2026 年 5 月 14 日,MistEye 威胁情报监控系统发现 npm 上的 Node.js IPC 工具包 node-ipc 同时出现 3 个异常发布版本:9.1.6、9.2.3 和 12
阅读全文威胁情报|Mistral AI 官方 SDK 供应链投毒分析
背景近日,MistEye 安全监控系统在对 PyPI 生态进行持续威胁狩猎时,捕获到 Mistral AI 官方 Python SDK 的恶意版本 mistralai-2.4.6。经深入分析,该样本并
阅读全文【安全圈】新型远程控制木马被披露,黑客伪造苹果与雅虎 CDN 域名攻击
关键词木马网络安全公司 Darktrace 昨日(5 月 14 日)发布博文,报道称有黑客利用伪造的苹果和雅虎 CDN 基础设施,在亚太地区发动长期潜伏攻击。安全圈注:CDN(内容分发网络)本意是把网
阅读全文【安全圈】Pwn2Own Berlin 2026 首日发放 52.3 万美元奖金,Win11 被攻破 3 次
关键词漏洞2026 年柏林 Pwn2Own 开赛首日,来自全球各地的安全研究员挖掘报告 24 个零日漏洞,成功拿到 523000 美元(现汇率约合 355.7 万元人民币)奖金。其中 Orange T
阅读全文【安全圈】OpenAI 确认在 TanStack 供应链攻击中出现安全漏洞
关键词漏洞OpenAI 表示,在近期影响数百个 npm 和 PyPI 软件包的 TanStack 供应链攻击中,两名员工的设备遭到入侵。作为预防措施,该公司已轮换其应用程序的代码签名证书。在今日发布的
阅读全文新手必备!大模型微调全流程
点击蓝字关注我们 段文桐前言 由于在针对单片机和freertos类系统做逆向分析时,IDA中完全看不到任何符号,所以我想到了使用现有的qwen3-coder模型做微调以适应垂类任务。本文章全部基于我自
阅读全文