工信部预警BERT勒索软件风险！附官方防范指南

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布关于防范BERT勒索软件的风险提示，CSTIS监测发现BERT勒索软件持续活跃，主要攻击目标为医疗健康、科技及活动服务等行业用户，可

什么漏洞是正常功能，什么功能是漏洞？

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息

三神战线守望胜利

80年前的8月15日，日本天皇裕仁广播“终战诏书”，宣布日本无条件投降。中国人民以铮铮铁骨战强敌、以血肉之躯筑长城、以前仆后继赴国难，谱写了惊天地、泣鬼神的雄壮史诗，打败了穷凶极恶的日本军国主义侵略者

SDL 83/100问：上传图片的API，除了常见web漏洞外，是否还会有风险？

利用参数污染结合JS注入绕过WAF防护执行XSS攻击

研究人员发现了一种通过HTTP参数污染技术结合JavaScript注入来绕过Web应用防火墙(WAF)的高级方法。这项由Bruno Mendes开展的研究测试了包括AWS、Google Cloud、A

【资料】湾湾发布“国家”资通安全发展方案和战略

2025年5月，湾湾分别发布了《“国家”资通安全发展方案》和《“国家”资通安全战略2025》，另外还发布了一个与信息泄露相关的调查报告。《信息外泄调查报告》主要针对具体的信息外泄事件，分析了事件的原因

【通知】第三届全国大学生开源情报数据采集与分析大赛开始报名啦！提供免费培训

关于举办第三届全国大学生开源情报数据采集与分析大赛的通知为深化情报学领域的人才培养战略，激发学生对开源情报分析的热情，强化学生在数据采集、深度分析及情报应用等方面的综合技能，营造一种“勇攀高峰，追求卓

流氓联盟欺软怕硬，多链路恶意推广

点击蓝字，关注+星标⭐精彩内容不迷路~随着国内互联网的爆发式增长，流氓软件也在不断地发展。其推广手段的不断迭代升级，反映出技术、商业与监管各方之间的复杂博弈。多数流氓软件都具备强制安装，难以卸载，捆绑

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

专题工作 | CCIA数安委召开反“开盒”技术工作组成立会议

近年来，隐私“开盒”等恶性网络暴力事件屡见不鲜，个人信息遭非法获取、恶意传播，严重侵害公民权益，扰乱社会秩序，冲击网络伦理底线。今年以来，中央网信办等部门也对“开盒”问题进一步加大了整治力度，以“零容

【高危漏洞预警】Microsoft Exchange Server混合部署权限提升漏洞CVE-2025-53786

漏洞描述:Miсrоѕоft Eхсhаnɡе Sеrvеr中的身份验证不当允许授权攻击者通过网络提升权限影响产品:1.Microsoft Exchange Server 2019 Cumulativ

【高危漏洞预警】F5 VPN安全特性绕过漏洞CVE-2025-48500

漏洞描述:MасOS F5 VPN 浏览器客户端安装程序中存在一个缺少文件完整性检查的漏洞,可能允许具有本地文件系统访问权限的本地、已认证攻击者用恶意包安装程序替换它。影响产品:F5 BIG-IP:版

怎样当好一名师长

作者: 101日期: 1936-12前些时候TK在渣浪重贴这篇。我额外读了作者若干军事文选，写得很好。许多方法论的东西是普适的。目录如下:一、要勤快二、要摸清上级的意图三、要调查研究四、要有活地图五、

谁能想到？一个不起眼的返回参数，轻松赚走 5400！

0x01 前言 在日常 SRC 挖掘中，经常会遇到一些看似“平平无奇”的返回参数，稍加分析就可能牵出更深层的漏洞链。0x02 漏洞背景一次众测项目，授权对目标子域进行渗透，本次针对目标网站 ww

来挖洞

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

安全工程师招聘

Java代码审计第9期（再次更新超强课程体系）

注意到了吗？现在企业招 Java 代码审计工程师 已经卷到 “先看项目经验，再谈薪资” 你却还在为看不懂代码发愁？想入门代码审计却被开发知识卡脖子？MS08067 安全实验室带着「Java 代码审计第

本周六晚免费公开课丨内网渗透中高价值目标利用

一个奇葩的xss

一个奇葩的xss正文这种xss比较另类,碰到了目前只能看运气,bp学院里面也提到过请求体和响应体里面皆为json:下面为payload：{"id":"4","activationDate":"<scr

【安全圈】美方在涉中国高风险AI芯片货运中暗装定位追踪器

关键词芯片管制路透社援引知情人士消息称，美国执法机构在部分被视为有高风险非法转运至中国的先进芯片货运中暗装定位追踪设备，以监控这些芯片是否被转运至受出口管制地区。此举仅针对正在调查的特定货运。消息人士

【安全圈】突发！GitHub正式告别独立运营时代！CEO卸任，微软全面接管AI化转型

关键词GitHub今晨，全球开发者社区迎来地震级变动！GitHub CEO托马斯·多姆克（Thomas Dohmke）突然宣布卸任，同时微软宣布将GitHub全面纳入其CoreAI工程集团架构。这意味

【安全圈】 #高德Bug#

关键词高德今日多地用户集中反映高德地图出现BUG。例如导航逻辑错误，跨区域定位漂移，数据延迟等。高德尚未做出回应。 END 阅读推荐【安全圈】今日早晨北京移动早高峰期间网络故障，官方回应正逐步恢复

【安全圈】GitHub恶意软件活动曝光：SmartLoader伪装游戏外挂窃取用户数据

关键词恶意软件AhnLab 安全情报中心（ASEC）近期发现，一场大规模恶意软件传播活动正在利用 GitHub 分发 SmartLoader——一种常被用于投放信息窃取程序（InfoStealer）的

【工具】ViewState-Cracker ASP.net密钥爆破插件

0x00 前言免责声明：继续阅读文章视为您已同意[NOVASEC免责声明].注：本文属于推荐系列文章，所推荐内容均为外部优质项目，并非由本团队开源实现。文章旨在分享各类优质项目，提升其关注度与影响力，

【工具更新】Nessus-最新版2025.08.12-WindowsCracked（附下载）

免责声明❝本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。版本介绍❝系统版本：10.8.4❝插件版本：202508121311规则模板: 2025072

《2025企业数据安全能力建设现状研究报告》发布 | FreeBuf咨询

数字经济时代，数据价值与安全风险的博弈重塑企业逻辑。数据安全建设已超传统边界防御，成为涵盖战略设计、全生命周期治理、动态风控与合规韧性的系统工程。需以零信任为骨 、AI防御为神经、穿透式合规为血脉，构

微软Office漏洞可导致攻击者远程执行代码

微软发布关键安全更新，修复了Microsoft Office中的三个严重漏洞，这些漏洞可能允许攻击者在受影响系统上执行远程代码。这些漏洞编号为CVE-2025-53731、CVE-2025-53740

CISA将WinRAR零日漏洞列入已知被利用漏洞目录

美国网络安全和基础设施安全局（CISA）已将该漏洞列入其已知被利用漏洞目录，要求联邦机构在2025年9月2日前完成缓解措施部署。WinRAR已发布7.13版本修复这个正被网络犯罪分子积极利用的关键安全

西门子SIMATIC RTLS定位管理器曝高危漏洞，工业环境恐遭渗透

Part01漏洞概况西门子产品安全应急响应团队（ProductCERT）发布高危安全公告（SSA-493787），警告其SIMATIC RTLS Locating Manager（实时无线定位系统管理

活动预告｜BlockSec CEO受邀出席亚洲前沿区块链学术会议

8月16-17日，亚洲前沿的区块链学术会议——Nanyang Blockchain Conference 2025 将在新加坡南洋理工大学举行。BlockSec CEO 周亚金教授受邀作为演讲嘉宾出席