发表的所有文章 | CN-SEC 中文网

安全新闻

初级开发者过度依赖AI的风险

当ChatGPT等工具出现故障时，软件开发人员离开工位、临时休息或沮丧地靠在椅背上的场景并不罕见。对许多技术从业者而言，AI辅助编码工具已成为日常便利。即便是像2025年3月24日那样的短暂中断，也可...

04月08日3 views评论

阅读全文

人工智能安全

大语言模型权限泛滥：自主性失控带来的安全风险

要使AI代理能够"思考"并自主行动，必须赋予其自主权（agency），即允许其与其他系统集成、读取分析数据并执行命令。但随着这些系统获得对信息系统的深度访问权限，人们越来越担忧其权限过度扩张——当这些...

04月08日32 views评论

阅读全文

安全新闻

Dell PowerProtect 系统漏洞可让远程攻击者执行任意命令

关键词安全漏洞已发现 Dell Technologies PowerProtect Data Domain 系统存在一个重大安全漏洞，该漏洞可能使已认证用户能够以 root 权限执行任意命令，从而有可...

04月08日23 views评论

阅读全文

安全新闻

黑客利用 VPS 托管提供商传播恶意软件并逃避检测

关键词恶意软件一个复杂的恶意软件活动通过冒充税务机构的精心设计的网络钓鱼电子邮件，传播 Grandoreiro 银行木马，并将目标锁定在墨西哥、阿根廷和西班牙的用户。此次攻击利用了多阶段感染链，首先是...

04月08日25 views评论

阅读全文

安全新闻

【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC

中危预警近日，安全聚实验室监测到 Vite 存在任意文件读取漏洞，编号为：CVE-2025-31486，CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制，攻击者可以绕过保护机制，非法...

04月08日61 views评论

阅读全文

安全漏洞

Crushftp 认证绕过漏洞（CVE-2025-2825）

内容仅用于学习交流自查使用，由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号Nday Poc及作者不为此承担任何责任，一旦造成后...

04月08日35 views评论

阅读全文

安全文章

赏金$10000的漏洞

背景本次分享一个最近认为非常有趣的漏洞，该漏洞最终获得10000刀换算为人民币大概7w多的现金奖励。漏洞原理并不复杂，胜在细心，You Do You can 的水平。正文前段时间，我在寻找 G...

04月08日6 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2025-04-07 密码学研究的田野调查

本文转载自“华东师范大学密码学院”公众号，欢迎关注在人文社科领域，有一种叫做“Fieldwork”的研究方法，中文翻译为“田野调查”，指研究者深入到研究对象的生活环境或自然环境中，通过观察、访谈、记录...

04月08日6 views评论

阅读全文

安全文章

记一次手把手带学员拿下600赏金

前言这是一份价值600的赏金报告嘿嘿过年的时候深情哥跟着学员一起挖了一下补天，这个报告比较有意思，给大家分享一下。漏洞详情 1.打开小程序 2.登陆然后抓包,然后点点，发现接口很熟悉，这一眼不就是...

04月08日13 views评论

阅读全文

安全漏洞

Crushftp存在未授权访问漏洞CVE-2025-2825 附POC

1. Crushftp简介微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发 Crushftp 2.漏洞描述 CrushFTP 身份验证绕过漏洞(CVE-2025-...

04月08日61 views评论

阅读全文

安全闲碎

T1036-伪装（一）

Atomic Red Team™是一个映射到MITRE ATT&CK®框架的测试库。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的环境。本文章为Atomic R...

04月08日8 views评论

阅读全文

安全新闻

恶意 WooCommerce API 信用卡验证工具在 PyPI 平台被下载 3.4 万次

网络安全研究人员发现，一个名为"disgrasya"的恶意Python包在开源平台PyPI上被下载超过3.4万次。该工具通过滥用正规WooCommerce电商平台的API接口，专门用于验证被盗信用卡的...

04月08日11 views评论

阅读全文

在线咨询

微信