全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年
全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年 安全客 2025-06-09 08:37 近日,一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出,全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex,借助安卓平台的本地通信机制,绕过系统权限控制与用户隐私防护,悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一
继续阅读标签: 广告
仅靠JS审计就能捡到的漏洞 前端代码中的隐藏利用点|挖洞技巧
仅靠JS审计就能捡到的漏洞 前端代码中的隐藏利用点|挖洞技巧 bcloud 渗透安全HackTwo 2025-06-08 16:01 0x01 前言 前端JS源码往往隐藏着未授权接口、敏感信息泄露等漏洞。本文结合实际案例,系统讲解如何通过审计JS文件挖掘高价值漏洞,从SQL注入到地图Key泄露,再到文件下载,探索手工渗透的魅力与技巧。 参考文章: https://xz.aliyun.com/new
继续阅读信息安全漏洞周报【第025期】
信息安全漏洞周报【第025期】 零零捌信安观察 银天信息 2025-06-06 07:48 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读WEB漏洞扫描器Invicti-Professional-V25.5.1(自动化爬虫漏洞扫描)更新
WEB漏洞扫描器Invicti-Professional-V25.5.1(自动化爬虫漏洞扫描)更新 原创 城北 渗透安全HackTwo 2025-06-05 16:02 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Editi
继续阅读最新xxl-job综合漏洞检测利用工具|漏洞探测
最新xxl-job综合漏洞检测利用工具|漏洞探测 pureqh 渗透安全HackTwo 2025-06-04 16:01 0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马(如冰蝎Fil
继续阅读潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱
潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱 原创 道玄安全 道玄网安驿站 2025-06-03 23:00 “ webmail漏洞。” PS:有内网web自动化需求可以私信 01 — 导语 2024年10月,网络安全研究人员曝光了一个潜伏长达十年的Roundcube Webmail安全漏洞。这个被标识为 CVE-2024-37383 的严重安全缺陷,影响了全球
继续阅读后渗透神器AdaptixC2红队渗测试多人协作框架(附带教程)|漏洞探测
后渗透神器AdaptixC2红队渗测试多人协作框架(附带教程)|漏洞探测 RalfHacker 渗透安全HackTwo 2025-06-03 16:15 0x01 工具介绍 Adaptix 是一个专为渗透测试人员打造的可扩展后利用和对抗模拟框架。Adaptix 服务器采用 Golang 编写,以提供灵活的操作方式。GUI 客户端采用 C++ QT 编写,可在 Linux、Windows 和 Mac
继续阅读加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗?
加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗? 原创 棉花糖糖糖 棉花糖fans 2025-06-03 10:11 今天上午某src群中有关于漏洞审核相关的讨论,相信师傅们也已经看到了,本文将打码所有相关信息,以防未知的风险。 首先是提交漏洞的师傅的消息: image-20250603172638708 随后src审核方面发了如下图片,并说:“给你解释过了 不在多余解释” image-
继续阅读小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险!
小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险! 原创 Hankzheng 技术修道场 2025-06-03 09:34 近期,网络安全研究机构SquareX披露,苹果Safari浏览器存在一个安全薄弱点,可被黑客利用发起一种极具欺骗性的“全屏浏览器中的中间人”(Fullscreen Browser-in-the-Middle, BitM)攻击,使用户在不知不觉中将账户凭证
继续阅读紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取
紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取 原创 道玄安全 道玄网安驿站 2025-06-01 23:00 “ 条件竞争。” PS:有内网web自动化需求可以私信 01 — 导语 国家网络安全机构近日监测到新型高危漏洞威胁: 多个主流Linux发行版的核心转存(core dump)机制存在严重安全缺陷 ,攻击者可借此 窃取系统密码哈希、加密密钥等敏感内存数据 。
继续阅读AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击!
AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击! 原创 道玄安全 道玄网安驿站 2025-06-01 07:57 “ AI漏洞。” PS:有内网web自动化需求可以私信 01 — 导语 国家网络安全通报中心于5月27日发布紧急安全警报:广受欢迎的AI绘图工具 ComfyUI存在多个高危漏洞 ,已被境外黑客组织利用对我国网络资产实施攻击。 这一消息在AI创作圈引发震动。作为一款 通过图形
继续阅读Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)!挖矿、流量劫持,更演变为勒索软件威胁!
Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)!挖矿、流量劫持,更演变为勒索软件威胁! 原创 Hankzheng 技术修道场 2025-06-01 02:39 近期,以经济利益为主要驱动的黑客组织“Mimo”被发现正积极利用Craft CMS内容管理系统中一个新近披露的远程代码执行漏洞(CVE-2025-32432 )。一旦成功利用此“最高级别”漏洞,攻击者会在受害服务器上
继续阅读WordPress热门插件TI WooCommerce Wishlist曝致命漏洞!CVSS 10.0,无需认证即可攻击!
WordPress热门插件TI WooCommerce Wishlist曝致命漏洞!CVSS 10.0,无需认证即可攻击! 原创 Hankzheng 技术修道场 2025-05-31 09:00 一款广受欢迎的WordPress电商愿望清单插件——TI WooCommerce Wishlist(活跃安装量超过10万)近日被爆出存在一个极其严重的未修补安全漏洞。该漏洞被评为CVSS 10.0级(最高
继续阅读【安全圈】苹果 Safari 全屏模式曝中间人攻击漏洞
【安全圈】苹果 Safari 全屏模式曝中间人攻击漏洞 安全圈 2025-05-30 11:01 关键词 安全漏洞 安全研究人员披露苹果Safari浏览器存在设计缺陷,攻击者可利用全屏模式实施“浏览器中间人攻击”(BitM)窃取用户凭证 。该漏洞源于网页通过Fullscreen API进入全屏模式时,Safari缺乏明确警示机制,使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司Squa
继续阅读苹果Safari 漏洞使用户易遭全屏中间浏览器攻击
苹果Safari 漏洞使用户易遭全屏中间浏览器攻击 Bill Toulas 代码卫士 2025-05-30 09:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司的 Safari web 浏览器中存在一个弱点,可导致威胁人员利用全屏的中间浏览器 (BitM) 技术从毫不知情的用户处窃取账号凭据。 通过滥用 Fullscreen API(允许网页上的任何内容进入浏览器的全屏查看模
继续阅读Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测
Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测 makoto56 渗透安全HackTwo 2025-05-29 16:01 0x01 工具介绍 天狼星(Sirius)是一款高效的开源漏洞扫描工具,支持Docker快速部署,提供Web界面、API接口和自动化扫描功能。适用于企业安全团队、渗透测试人员及开发者,帮助发现并修复系统漏洞,快速检测SQL注入、XSS、弱口令等常见漏洞。5分
继续阅读紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取
紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取 原创 道玄安全 道玄网安驿站 2025-05-28 23:00 “ 挖矿。” PS:有内网web自动化需求可以私信 01 — 导语 一场针对全球网站管理员的隐秘攻击正在上演 。知名黑客组织”Mimo”近期利用Craft CMS中的高危漏洞(CVE-2025-32432),向数千台服务器同
继续阅读Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测
Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测 makoto56 渗透安全HackTwo 2025-05-28 16:00 0x01 工具介绍 渗透测试套件工具集是一款基于Windows 10打造的一体化安全测试环境,集成了400多种专业工具,涵盖Web渗透、移动安全、内网攻防、社会工程学等多个领域。内置WSL2 Kali Li
继续阅读DragonForce 勒索团伙瞄准MSP,发动供应链攻击
DragonForce 勒索团伙瞄准MSP,发动供应链攻击 Alexander Culafi 代码卫士 2025-05-28 10:04 聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复
继续阅读NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览
NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览 安全牛 2025-05-28 09:43 新闻速览 •《喜马拉雅》《好大夫在线》等63款APP因违法违规收集使用个人信息被通报 •美国政府启动NIST国家漏洞数据库审计,解决积压问题 •伊朗黑客认罪参与RobbinHood勒索软件攻击,面临30年刑期 •GitHub成为欧洲恶意软件
继续阅读Netfilter Tunnel 之殇:CVE-2025-22056分析
Netfilter Tunnel 之殇:CVE-2025-22056分析 原创 獬豸实验室 京东安全应急响应中心 2025-05-28 09:01 在一个多月前,Linux 内核中的 Netfilter 模块下针对 nft_tunnel 中存在的一处越界写漏洞补丁被提交到内核主线,该漏洞被分配为 CVE-2025-22056 ,本篇文章旨在通过利用该漏洞对内核实现提权,同时该漏洞影响 Linu
继续阅读AI 安全|DIFY 大模型平台漏洞预警(已复现)
AI 安全|DIFY 大模型平台漏洞预警(已复现) 原创 灵悉实验室 灵悉实验室 2025-05-28 08:02 前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,灵悉安全团队以及文章作者不为此承担任何责任。灵悉安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经灵悉安全团队允许,不得任意修改或者
继续阅读全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测
全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测 M09Ic 渗透安全HackTwo 2025-05-26 16:00 0x01 工具介绍 spray 是一个非常强大的安全扫描工具,主要用来收集信息、进行爆破攻击、扫描目录和挖掘漏洞。它可以通过字典和规则生成来进行爆破,并且内置了智能过滤功能,可以帮助快速检测一些常见的安全问题。还可以自定义请求、使用断点续传功能、以及做递归扫描
继续阅读618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任!
618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任! 网络空间信息安全学习 2025-05-26 13:02 前两天 浏览器 Firefox 母公司, Mozilla 旗下的 稍后阅读产品 Pocket 宣布, 将于 2025 年 7 月 8 日关闭服务。 作为 2007 年就发布的老牌稍后读工具, Pocket 可能是很多朋友用过的第一款类似软件,现在也成
继续阅读【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞
【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞 原创 Mstir 星悦安全 2025-05-26 05:52 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号:10033 内部编号:XY-101547 无授权提示云挖矿4链盗u系统,修复后台无法登录问题,代码全开源无后门,优化后台模板 修复刷新余额报错问题,去授权提示 带最新4链提币接口 后台可直接提币. Fofa
继续阅读“国补”政策下的黑色产业链分析报告:黑灰产如何利用漏洞套取补贴?
“国补”政策下的黑色产业链分析报告:黑灰产如何利用漏洞套取补贴? 数说安全 2025-05-26 02:50 2024 年起,消费品以旧换新的国家补贴政策,下文简称“国补”政策,在汽车、数码、家电三大领域全面推行,以推动消费升级、节能减排等。活动补贴力度显著,如新能源车补贴 2 万元,数码产品补贴 15%,覆盖多个电商线上平台及线下品牌门店。 在政策红利背后,也存在套取补贴获利的行为;为防止黑灰产
继续阅读从 SSRF 到 RCE:一次众测Fastjson<=1.2.68反序列化RCE过程|挖洞技巧
从 SSRF 到 RCE:一次众测Fastjson<=1.2.68反序列化RCE过程|挖洞技巧 脚*猪 渗透安全HackTwo 2025-05-25 16:00 0x01 前言 在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据提示信息得到服务端接收的数据格式为json格式,再通过构造json报错语句时服务端报错回显了fastjs
继续阅读渗透工具箱V8 集成Web扫描、漏洞利用、抓包、免杀等等|漏洞探测
渗透工具箱V8 集成Web扫描、漏洞利用、抓包、免杀等等|漏洞探测 shuidi 渗透安全HackTwo 2025-05-24 09:05 0x01 工具介绍 水滴工具箱 (shuidi) 是一款的开源渗透测试工具集合。涵盖Web扫描、抓包、免杀等多个方面。该项目目前V8版本可供下载。 注意: 现在只对常读和星标的公众号才展示大图推送,建议大家把 渗透安全HackTwo “设为星标⭐️
继续阅读ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具
ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具 原创 道玄安全 道玄网安驿站 2025-05-23 23:00 “ 思科。” PS:有内网web自动化需求可以私信 01 — 导语 2025年5月,网络安全公司Sekoia.io揭露了一项名为 ViciousTrap 的高级持续性威胁活动。该组织通过利用思科(Cisco)路由器的漏洞(CVE-2023-20118)
继续阅读疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22)
疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22) 原创 BaizeSec 白泽安全实验室 2025-05-23 01:00 APT攻击 – 疑似俄罗斯 APT28 组织 在全球 攻击 活动中利用 0Day 漏洞 Swan-Vector APT组织通过DLL植入技术针对台湾与日本发动网络攻击 攻击活动 – 知名
继续阅读