导语：2026年5月7日，研究员金贤宇（@v4bel）在GitHub（盖ithub）上公开了脏碎片（Dirty Frag）的全部细节——两个Linux内核提权漏洞、完整利用代码、工作概念验证。发布的原因是：embargo已经...

导语：5月11日 UTC 19:20，npm 仓库凭空多出 84 个恶意版本，涵盖 42 个 @tanstack/* 包——而且全部是通过 TanStack（栈式全家桶）自己的 CI/CD 管道合法签名的。这不是简单的凭据被盗，而是一...

导语：越南系黑客组织OceanLotus（APT32）被卡巴斯基披露利用PyPI供应链攻击投送新型恶意软件ZiChatBot。最令人警醒的是：这款恶意软件不使用传统C2服务器，而是把Zulip公开聊天服务的REST API...

导语：2026年5月8日，安全研究员 dwisiswant0 在 GitHub 公开发布 Next.js v16.2.4 安全 PoC 合集，一次性涵盖 12 个已修复 CVE（涵盖 CVE-2026-23870、CVE-2026-44574 至 CVE-2026-44582），其...

2026年4月21日，全球网络安全领域惊现重磅消息：据英国科技媒体《The Register》独家披露，伊朗官方媒体公开指控，美国在近期冲突中，借助预埋于网络设备中的后门程序及设备级僵尸网络，直接瘫...

导语：一个让人不安但真实的规律——黑客经验越丰富，就越难被检测到。初出茅庐的攻击者毛手毛脚，工具用得明目张胆，日志满天飞，防御方一眼就能发现。但真正的老手完全不同：他们用防御者的思...

  AI智能体在网络安全中会有怎样的应用呢？本文我们通过Hermes配置Kali进行简单的学习。来了解AI的接入，能否为我们的学习提供便捷呢？注意：本文在安全的内网环境中进行测试，旨在学习AI的思...

导语：CeWL（Custom Word List generator）是红队成员在密码攻击前用来生成定制字典的工具。5月2日发布的 5.0 版本，终于加入了代理和认证支持——那些需要登录才能访问的内部系统，现在也能爬...

导语：Sony WH-1000X系列一直是蓝牙耳机界的标杆产品，但安全研究揭开了一个令人不安的真相：包括WH-1000XM4、WH-1000XM5、WH-1000XM6在内的多款主流耳机，被发现存在严重的蓝牙协议实现漏洞。...

项目简介本项目是一个针对SQLMap开发的加强版Tamper脚本集合（基于Python3.10开发），旨在通过利用特定数据库版本的特性和高级混淆技术，绕过现代Web应用防火墙的防护。传统的SQLMap Tamper脚本...

本篇文章仅用于技术交流，请勿利用文章内的相关技术从事非法测试，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责。一、前言    在某次对金融...