网络安全

HackTwoHub5 小时前
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描ARL资产灯塔系统完成全面现代化重构,搭建完整多维闭环资产侦察体系。系统摒弃老旧引擎,搭载全新Chromium动态爬虫与Nuclei漏洞扫描能力,融合万级高精度指纹库,一站式覆盖网络边界探测、资产指纹识别、漏洞风险检测全链路场景。可联动ICP、天眼查抓取企业全域资产,支持自动化任务调度与常态化监控,轻量化部署、高效迭代,为企业资产测绘、红蓝对抗、安全巡检提供稳定可靠的技术支撑。
ccino .7 小时前
网络安全·xss
Hackerone-地址栏xss注入点:结算页面中的地址字段存储位置:用户提交的地址数据被存储在数据库中,并在后续页面(如订单详情、后台管理界面)中未经处理地渲染输出
数据知道8 小时前
安全·web安全·网络安全
网络安全工具箱:100+ 工具分类速查与选型建议Kali Linux 预装 600+ 安全工具。新手常见两种误区:真正有用的是 按 Kill Chain 阶段 + 按角色(红/蓝)+ 按场景选型 的工具地图:
txg6668 小时前
深度学习·安全·web安全·网络安全·xss
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞“ 跨站脚本攻击(XSS)长期以来都是PHP Web 安全领域最顽固、最常见的漏洞类型之一。现有检测技术主要分为两类:动态分析能够生成 PoC,但覆盖率不足;静态分析覆盖全面,但严重依赖 sanitizer 建模,易产生误报与漏报。那么,是否可以融合二者优势,在保证覆盖率的同时提供可验证的漏洞证明?研究者提出了一个全新的解决方案:XSSky,一种基于路径持久化模糊测试的 XSS 漏洞检测框架。 ”
红信鸽9 小时前
网络安全
2026 年 AI 钓鱼攻击现状与防御深度解析进入 2026 年,网络安全的边界正在发生不可逆转的坍缩。曾经被视为“高级持续性威胁”(APT)专属手段的社会工程学攻击,如今已随着生成式 AI 能力的平民化而彻底下沉。对于绝大多数依赖数字基础设施的企业而言,安全不再仅仅是防火墙后的技术博弈,而是直接关乎企业存亡的董事会级战略议题。当攻击者能够以毫秒级速度生成完美伪装的语言模型时,传统的基于规则和安全意识培训的防御体系显得苍白无力。这一转变标志着我们正处于一个“信任危机”的前夜,任何假设“人类员工能识破低级错误”的侥幸心理,都可能在下一秒付出惨痛代价。
数据知道13 小时前
安全·网络安全·电脑
安全实验室搭建指南:一台电脑搭出完整靶场环境很多人学安全的路径是这样的:问题不在工具,在于没有一块安全、可重置、可反复折腾的练习场。一块合格的本地靶场,应该满足:
LYFlied1 天前
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞OpenAI 与 Paradigm 发布的 EVMbench,不再只让模型阅读代码后输出一段安全报告,而是把 Agent 放进可执行的区块链环境,分别评测漏洞检测、补丁修复和端到端利用能力。基准收录 40 次审计中的 117 个高严重度漏洞,并用确定性交易回放、链上验证和受限 RPC 构建可复现评分。本文分析三种评测模式、Harness 设计、结果差异及其对安全研发流程的启示。
Hiyajo pray1 天前
网络安全
属性sdn隐私保护分析ABAC 四元组全部是可泄露隐私载体:摘要:本文深入分析 ABAC(基于属性的访问控制)在 SDN 网络中的隐私泄露风险。ABAC 四元组(主体、客体、操作、环境)包含大量敏感属性,以明文形式传输和存储将导致网络拓扑泄露、权限规则被逆向推断、跨域信息扩散、属性加密体系安全性削弱等六大核心安全威胁。文章从攻击者视角模拟了利用明文属性推断策略并伪造属性绕过访问控制的完整过程,同时从防御方视角给出了属性加密、数字签名、动态风险评分、零知识证明等安全增强方案。此外,还分析了 SDN 原生架构(控制平面、南向接口、
Hiyajo pray1 天前
网络安全
属性sdn的隐私保护策略(1)ABAC-SDN 属性明文泄露引发的分层安全问题前言:软件定义网络(SDN)与基于属性的访问控制(ABAC)的结合,为工业、云租户、跨域 SD-WAN 等场景提供了细粒度的动态授权能力。然而,ABAC 的核心——属性信息(如设备类型、角色、安全等级、切片 ID 等)在 SDN 南向协议、控制器同步报文及审计日志中多以明文形式传输与存储,导致属性泄露问题普遍存在且长期被忽视。攻击者一旦截获属性,即可逆向推导访问策略、伪造权限、削弱后量子密码安全性,甚至瘫痪生产网络。本文系统梳理 ABAC-SDN 中属性明文
HackTwoHub1 天前
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell某事业单位老旧闭源 CMS 完整渗透实战,目标部署宝塔免费 WAF,防护存在明显短板。通过注册用户发现 id 参数可控,采用 %0a 换行、十六进制字符编码绕过拦截完成报错注入,爆破后台管理员账号并解密 MD5 密码。成功登录后台后,拆分关键字绕过代码过滤写入 Webshell,再借助 curl 远程落地木马,LD_PRELOAD、FPM、open_basedir、disable_functions 多重绕过手段,完整还原从注入到获取系统 Shell 的全攻击链路。
杭州默安科技1 天前
人工智能·网络安全
从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践当前政企单位持续完善网络安全防护体系,普遍部署防火墙、EDR、NDR、流量分析等多类安全硬件与平台,但设备数量增长并未同步提升安全运营效率,传统人工处置模式存在三类核心瓶颈: 威胁研判周期长 各类设备独立产生海量告警,运维人员需逐一对攻击特征、资产信息、告警真实性人工核验,单次完整风险研判耗时数十分钟至数小时,无法匹配高频攻击场景处置需求。 异构设备协同壁垒高 不同厂商防火墙管理平台相互独立,针对同一攻击源执行封禁操作时,运维人员需登录多套系统重复配置访问控制策略,跨设备协同依赖人工操作,流程繁琐易出现遗
云栖梦泽在2 天前
网络·网络协议·tcp/ip·网络安全·性能优化
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查平台要求验证,并不一定代表账号出问题。它更常见的含义是:常见变化包括:所以排查方向不是只看“能不能打开后台”,而是看登录环境是否连续、稳定、可解释。
VidDown5 天前
网络·网络协议·网络安全
DNS 解析原理:当你在浏览器输入网址后发生了什么?你在浏览器输入 www.example.com 并按下回车,到页面加载出来,中间发生了无数次 DNS 查询。这个过程只需要几百毫秒,但涉及的步骤远比想象中复杂。这篇文章从根服务器开始,把 DNS 的层级结构、递归查询、缓存机制拆开讲清楚。
磐时信息技术2 天前
网络安全·信息安全·汽车·gb44495·gb44496
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段2026年7月1日起,GB 44495—2024《汽车整车信息安全技术要求》与GB 44496—2024《汽车软件升级通用技术要求》正式对新申请型式批准的车型强制执行。 两项标准于2024年8月23日由国家标准委批准发布,原定实施日期为2026年1月1日。2025年12月,工信部发布第1号修改单,经国家标准委于2026年1月28日批准,将新车型强制执行时间推迟至2026年7月1日。
被克制了3 天前
网络安全·密码学·安全协议
安全协议设计与分析(2)上节讲了一些,基本是概念,更多的靠理解本节开始简单讲讲密码学的相关知识,主要是讲一下密码学一些思想是如何应用在协议中的,不会涉及太详细的操作,具体的内容建议去别的博客上速查一下
Chockmans4 天前
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
春秋云境CVE-2021-42897(保姆级教学)1.阅读靶场介绍这里我们可以得到的有用信息就是存在任意代码执行漏洞这里博主提前剧透一下博主是post一个报文,然后反弹shell去cat /flag
四月天434 天前
笔记·学习·web安全·网络安全
web安全-SSTI(服务器模板注入)SSTI的本质是用户输入被作为模板内容直接拼接并渲染。根据结果可分为:确定模板引擎是第一步,可通过报错信息、特定语法或通用测试值(如${7*7}、{{7*7}}、<%= 7*7 %>)的反应来判断。
菩提小狗4 天前
网络安全·漏洞·cve·安全情报·每日安全
每日安全情报报告 · 2026-07-04报告日期:2026年7月4日(星期六) 覆盖时间窗口:2026年7月1日 — 7月4日 风险等级标注:🔴 严重 | 🟠 高危 | 🟡 中危 数据来源:The Hacker News、BleepingComputer、FreeBuf、CISA KEV、NVD、GitHub、各厂商安全公告
中云DDoS CC防护蔡蔡5 天前
运维·经验分享·http·网络安全·微信
短信验证码被攻击怎么办短信验证码是业务安全的基石,但也正因如此,它成了攻击者的首选目标。短信接口被恶意攻击,最常见的场景就是验证码盗刷。 先别急着调高发送频率上限,我们先搞清楚对手在做什么。
菩提小狗5 天前
网络安全·漏洞·cve·安全情报·每日安全
每日安全情报报告 · 2026-07-03报告日期:2026-07-03 | 覆盖时段:2026-07-01 ~ 2026-07-03 数据来源:CISA KEV / NVD / The Hacker News / BleepingComputer / CybersecurityNews / Threat-Modeling / watchTowr Labs / Lupovis / FreeBuf / 各厂商安全公告