排序
渗透神器!BurpAPIFinder 自动扒接口 + 查敏感信息,效率拉满
做渗透测试的朋友都懂,手动翻 JS 找接口、查敏感信息有多折磨人。页面上看不到的接口藏在 JS 路由里,后台路径埋在配置文件中,账号密码、云密钥、Token 等敏感数据说不定就明晃晃漏在响应里…...
25天前全球最大DDoS僵尸网络运营者落网:23岁"Dort"被捕背后
导语:2026年5月21日,加拿大渥太华,一场持续数月的网络威胁终于画上句号。23岁的雅各布·巴特勒(Jacob Butler),网名'Dort',被加拿大警方依据美国引渡令逮捕。他涉嫌构建和运营史上规模最...
23天前实测428个AI中转站,9个投毒、17个窃密,还有1个转了钱
你身边肯定有人在用淘宝、闲鱼上便宜的'ChatGPT'或'Claude'。便宜得反常,用起来似乎也没出问题。直到今年早些时候,加州UCSB大学的一项研究捅破了这层窗户纸。研究员从淘宝、闲鱼等网站购买了2...
23天前浏览器沙箱内直接提权,Windows内核最后防线崩溃(Poc)
导语:一个系统调用,12字节写入,从浏览器沙箱直接拿到SYSTEM——这不是理论攻击,而是已经发生的技术现实。CVE-2026-40369击穿了Windows内核的最后一道防线,完整PoC在GitHub上任何人随手可得...
23天前Burp/Yakit平替?一个更适合新人用的抓包工具 + 插件扩展
做渗透测试、抓包改包、流量分析的朋友,应该都对 Burp Suite 又爱又恨。功能强是真强,但资源占用、上手门槛、扩展灵活性,总让人想找个更顺手的平替。最近,一款国产开源工具 SwordfishSuite...
23天前Claude Code 安全审计插件 – 实时发现代码漏洞
导语:Anthropic 推出 Claude Code 安全审计插件,可在编码时实时识别漏洞,无需离开编辑器即可完成安全修复。工具背景Anthropic 于 2026 年 5 月 26 日发布了 Claude Code 的安全审计插件(Sec...
23天前没设 API 限额,一个月烧掉 5 亿美元
导语:一位 AI 咨询顾问在社交平台发布推文称,其客户公司的一名员工在使用 Claude API 时完全未设置调用限额,短短一个月下来,账单直接飙至 5 亿美元。这条推文迅速引发科技圈热议——毕竟,...
22天前CVE-2026-40361:微软Outlook零点击RCE漏洞选中新邮件即沦陷
导语:清晨,员工打开邮箱,用鼠标轻轻单击了一封陌生邮件——还没来得及打开阅读,办公室的电脑便已悄然落入黑客控制。这不是电影,而是刚刚被微软紧急修补的CVE-2026-40361漏洞的真实威力。选...
22天前快速刷分!数据库敏感信息检索工具
工具简介@弱鸡师傅的又一个数据库敏感信息检索CLI工具,用于检查开发数据库中是否存在手机号、身份证、地址、账号、密码、邮箱、银行卡、token/secret等敏感信息。看他这工具的功能应该也可用于...
22天前从 AI 聊天历史中提取凭证的取证工具
导语:开源工具 GhostType 可扫描本地 AI 编程助手的对话历史,提取可能泄露的 API 密钥、密码等敏感信息,用于授权红队或 DLP 检测。工具背景GhostType 由开发者 xFreed0m 开源发布,是一款本...
22天前Meta的AI漏洞修复成了一个笑话
导语:这事儿吧,本来以为翻篇了,结果越挖越离谱。6月2日,多家安全媒体,包括Krebs on Security和PCMag,爆出了一个大新闻:Meta新上线的AI客服机器人被伊朗黑客用'提示词注入'社工到叛变,奥...
15天前吃瓜!6月1日天涯网归来十二小时就已经被黑客盯上了 怀旧狂潮下的数据危机
2026年6月1日凌晨,承载着无数中国网民青春记忆的天涯社区(tianya.net)正式恢复访问。这个曾孕育《鬼吹灯》《明朝那些事儿》、芙蓉姐姐等经典内容和现象的“全球华人网上家园”,在停摆三年多...
15天前