导语：从2016年的Shift+F10绕过到2026年的YellowKey，BitLocker在过去十年间遭遇了数十种攻击手法。这些攻击跨越软件启动链、硬件TPM总线、DMA接口、休眠文件、账户托管等多个维度。本文编译自E...

导语：数字版权管理（DRM）一直是内容产业保护电子书的重要手段。然而安全研究人员的最新研究表明，Amazon Kindle的DRM保护并非无懈可击——通过系统性的逆向工程，攻击者可以提取用于解密电子...

导语： Bring Your Own Vulnerable Driver（BYOVD）攻击已经成为红队和真实攻击者的标配技术。最新案例是安全研究人员发现的Phantom Killer——利用联想笔记本附带的一个合法签名驱动，让任何低...

做渗透测试的朋友都懂，手动翻 JS 找接口、查敏感信息有多折磨人。页面上看不到的接口藏在 JS 路由里，后台路径埋在配置文件中，账号密码、云密钥、Token 等敏感数据说不定就明晃晃漏在响应里…...

导语：Pwn2Own 2024赛场上，一个名字让全场屏息——Chompie。这位IBM X-Force Red团队的漏洞利用研究员，以一种近乎艺术的方式攻破Windows 11内核，成为该赛事历史上首位获得完整胜利的女性选手...

导语：早上刷到这条消息的时候，我手心微微出汗——我手上跑着好几个 NGINX 反代，全是默认配置，5 月 21 日刚爆出 nginx-poolslip 0day，攻击者可以远程代码执行，没有认证，没有补丁。我第一...

导语：当你以为银行木马还在用键盘记录和屏幕截图这种老套路时，KAIDO RAT v3.0已经进化成了一个模块化平台——实时劫持PIX转账、伪造QR码、锁定用户设备、收割AI平台凭据。这不是升级，这是物...

介绍网页、桌面应用、终端命令、Python 脚本、手机 App —— 不管流量从哪来，抓到就能让 AI 自动逆向分析。为什么用 Anything Analyzer？传统工具各管一摊：DevTools 只看浏览器、Fiddler/Char...

我们的AI代理在Ubuntu 26.04发布当天就成功获取了root权限 :)我们获得了三星最新旗舰智能手机 S26（Exynos 2600 芯片组）的 root 权限。据我们所知，这是自三星在 One UI 8 中移除 bootloader ...

导语：5月11日 UTC 19:20，npm 仓库凭空多出 84 个恶意版本，涵盖 42 个 @tanstack/* 包——而且全部是通过 TanStack（栈式全家桶）自己的 CI/CD 管道合法签名的。这不是简单的凭据被盗，而是一...

2026HW招募 ►关于HW网络安全行业内的大规模攻防演练；全国范围，首推一线； ► 关于时间视项目情况而定； ►关于招募对象蓝方人员：高级工程师、中级工程师、初级工程师；优先中高；招募对...

导语：2026年5月7日，弗吉尼亚州亚历山大市，34岁的索哈伊布·阿赫特被联邦陪审团一致认定：阴谋欺诈计算机罪、密码贩卖罪、非法持有枪支罪——全部成立。这并非初犯，而是他第二次站上联邦法庭...