系统安全

一站式源码安全检测工具、云安全 / APP / 小程序源码敏感信息递归多层目录扫描AK、JWT、手机号、身份证等敏感信息在日常渗透测试、代码审计或源码泄漏排查中，最令人头疼的就是硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串等敏感信息散落在文件角落里，人工翻找效率低下，还容易遗漏，错过关键信息。于是开发了一站式源码安全检测工具，专为云安全、APP、小程序源码泄露排查打造，支持多层目录递归深度扫描。依托近百条实战正则规则，可精准识别AK/SK、JWT令牌、手机号、身份证、密钥等各类高低危敏感数据，自动过滤无效二进制文件，扫描高效不遗漏。工具可精准定位泄露位置并预览上下文，支持多格式结果导出，轻松完成代码审计与

AI赋能Chrome MCP × JS逆向Skill自动化JS逆向助力挖洞与绕过实战（小白也能学会）如今不少网站把加密逻辑前置到前端，常见包含 AES、MD5、SM2、RSA 等算法。抓包数据不再是明文账号密码，大多以 Base64、十六进制密文形式呈现BurpSuite 的 Intruder 突然失效，手工重放请求全是 400/403，漏洞扫描器也因为无法构造合法密文而直接哑火。本文从 MD5、AES 到国密 SM2出发结合实战案例，梳理前端加密逆向整套思路，借助Chrome DevTools MCP + JS 逆向 Skill技巧，拆解各类加密算法，实现抓包快速加解密，找出算法密钥。

白雪落青衣

Upload-Labs-Linux文件上传漏洞这里上传文件我们可以打开检查，可以看到该页面对上传文件做了相关的限定，但是只是在前端页面进行了相关的验证，后端不知道，但是我们可以试试绕过前端的校验，可以在设置中禁用javascript，也可以进行burpsuite进行抓包

【Web安全】-企业资产信息收集（2）：子域名查询，小程序和APP收集❄️专栏传送门：《C语言》《数据结构与算法》《Web安全》 🌟Gitee仓库：《C语言》《数据结构与算法》

weixin_44626085

LCGuard：面向多智能体系统安全的键值共享隐层通信防护机制LCGuard 是一个创新框架，旨在通过安全地转换和分享 Transformer 的 Key-Value (KV) 缓存，有效规制多智能体（Multi-Agent）大语言模型（LLM）系统中的敏感信息流。它解决了当前利用 KV 缓存进行传递的系统性安全漏洞。

Bruce_Liuxiaowei

2026年5月第4周网络安全形势周报覆盖周期： 2026年5月16日 — 2026年5月22日本周网络安全形势呈现**“老洞新打 + 零日并发 + 供应链告急 + 国家级对抗升级”**四线并进的严峻态势。CISA于5月20日一次性将7个漏洞纳入KEV目录，其中包含潜伏18年的MS08-067（CVE-2008-4250，CVSS 10.0）和2个2026年新披露的Microsoft Defender零日漏洞；思科SD-WAN满分零日（CVE-2026-20182）被UAT-8616组织在野利用；Grafana Labs遭"Coinbase

对标PentestGPT！新一代去中心化集群式AI全自动渗透测试工具在AI安全工具百花齐放的今天，绝大多数所谓的"多智能体渗透测试工具"本质上仍是单点规划器+固定流水线——侦察→分类→利用→报告，按预设顺序机械执行。这种模式只是"功能更强的单体工具"，而非真正的智能协作。

高翔·权衡之境

主题9：DMA与零拷贝——让CPU从数据搬运中解放主题9：DMA与零拷贝——让CPU从数据搬运中解放你或许会好奇：你的手机能同时拍照、导航、听音乐，CPU到底是怎么忙得过来的？其实，它并没有亲自做所有的事——就像一家餐厅的老板不会亲自端盘子，他负责炒菜，端盘子的事交给服务员。

【网安-Web渗透测试-内网渗透】域环境权限维持在内网渗透中，获取目标主机权限后，通常需要通过建立后门等方式实现权限维持，确保在漏洞被修复后仍可持续控制目标。因此，权限维持是内网渗透中的关键环节之一。

RCE漏洞的原理详细讲解并基于pikachu靶场的实战演戏再讲rce漏洞之前问大家一个问题你们肯定听说过一句话木马后门文件这些词汇吧那你们知道他们是利用什么进行攻击的吗

AI 挖洞新思路、深度解析两大间接提示词注入漏洞攻防思路，注入也能获得上万美金在移动 AI 领域，我已经很久没有关注过提示词注入漏洞了，在前两天关注到 Gemini 的漏洞之前，我对提示词注入的印象还停留在两年前，当时搞搞越狱，觉得这东西是纯内容安全，也只能等未来对能够进行实际工作的智能体造成影响了。可如今我才恍然发现，移动智能体时代它真的来了...

带娃的IT创业者

深度拆解：当现代汽车变成“移动终端”，我们如何夺回数据主权？在软件定义汽车（SDV）的浪潮下，2024 款的混动车型早已不再是单纯的机械代步工具，而是披着钢铁外衣的精密计算平台。最近，一篇关于从全新混动车型中移除通信模组的实操记录在技术社区引发了激烈讨论。这篇帖子之所以能获得近千票的热度，并非因为操作本身的难度有多高，而是因为它触及了一个极其敏感且日益紧迫的话题：作为车主，我们是否真正拥有对自己车辆的硬件控制权？

关于论文《FLUSH+RELOAD：一种高分辨率、低噪声的L3缓存侧信道攻击》的理解现代系统为了省内存，大量使用共享内存页（比如共享库等），但这同时来带了一些问题：进程间的独立性/隔离性，通常可以通过共享页强制只读或共享数据写时拷贝的方式实现。虽然可以保证进程无法修改共享页的内容，但也存在一些无法阻止的进程间干扰。有一种通过共享页面产生的干扰形式会导致CPU缓存的共享使用，那么当一个进程访问共享页面的某个部分时，由于局部性原理，访问的数据会被放进缓存。作者观察到，clflush 指令会把数据从所有缓存层级清空，包括共享的 L3（最后一级缓存）。基于这个发现，作者设计了 FLUSH+

Bruce_Liuxiaowei

AI攻防时间差：当漏洞发现速度碾压修复速度— 聚焦技术核心2026年5月，对于网络安全领域而言，是一个具有分水岭意义的月份。一边是360人工智能安全研究院在5月12日发布的重磅报告，首次提出**“AI安全时间差”（ASTG，AI Security Time Gap）**概念，将一个残酷的现实摆上台面：AI已将网络攻防节奏从"人类响应速度"切换至"机器速度"，高价值漏洞从披露到出现可用利用代码仅需24-72小时，而多数组织的修复流程仍以周、月为单位运行。

洋哥网络科技

centos7 升级openssh-10.2首先上传openssh-10.2p1_amp_openssh-3.0.18.el7.zip如网上找不到资源，翻到最后有网盘链接；

Linux系统安全及应用：技术配置与检测实战Linux系统安全及应用中，账号安全控制是保护系统安全的基础措施。系统账号除用户手动创建的各种账号外，还包括随系统或程序安装过程而生成的其他大量账号。除超级用户root外，其他大量账号只是用来维护系统运作、启动或保持服务进程的，一般是不允许登录的，因此也被称为非登录用户账号。这些非登录用户账号的存在虽然对系统运行必要，但如果不加以适当管理，可能成为安全漏洞的潜在来源。

Bruce_Liuxiaowei

2026年5月第3周网络安全形势周报覆盖周期： 2026年5月9日 — 2026年5月15日本周网络安全形势持续紧张，多个高危漏洞密集披露。Nginx 18年未修的 RCE 漏洞（CVE-2026-42945，CVSS 9.2）引发全球震动，约254万中国网站直接受影响；AI 编程工具连爆严重漏洞，Cline 和 PHP SOAP 分别被给出 CVSS 9.6 和 9.5 的评分；勒索软件攻击仍处高位，Qilin 和 The Gentlemen 持续活跃；ShinyHunters 攻陷全球教育平台 Canvas，2.75亿用户数据面临风险。

【Web安全】-BurpSutie实战讲解（1）：BP工具介绍，BP安装与启动，BP浏览器代理（端口被挤占的问题解决，bp不能使用的问题）❄️专栏传送门：《C语言》《数据结构与算法》《Web安全》 🌟Gitee仓库：《C语言》《数据结构与算法》

春秋云境CVE-2022-30887（保姆级教学）1.阅读靶场介绍这里我们得到得有用信息是该CMS中php_action/editProductImage.php存在任意文件上传漏洞，进而导致任意代码执行。

AI提示词注入绕过工具：一键绕过Codex/Claude安全限制，CTF夺旗与渗透测试必备神器做CTF时AI突然"我不能帮你这个"？就像队友关键时刻拔网线还顺手删存档。codex-session-patcher专治这种"AI叛逆期"——它悄悄潜入会话文件，把拒绝回复替换成乖巧配合版，让你resume续杯成功。不用从头再来，不用低声下气求AI，一键搞定。支持Codex、Claude Code、OpenCode三平台，一键清理批量拒绝，还能注入CTF提示词从源头降低被拒概率。不用低声下气求AI，resume续杯成功，安全测试丝滑如初。