发表的所有文章 | CN-SEC 中文网

安全文章

Apache ERP开源框架OFBiz高危RCE 漏洞复现分析

无需身份验证，攻击者就能轻松拿下你的服务器，你必须立刻知道！在数字化时代，企业的核心业务系统如同一座座数字化城堡，而开源软件则是这些城堡的基石。然而，当基石出现裂缝时，整个城堡的安全都将受到严重威胁。...

03月16日15 views评论

阅读全文

安全文章

红队实战：谈一谈红队中的钓鱼姿势实战版

原文链接：https://zone.huoxian.cn/d/2977 作者：和 0x1 前言红队钓鱼社工姿势关于近源场景的详细实战案例来了，这里先简单介绍一点儿小设备，这种工具非Bad...

03月16日19 views评论

阅读全文

安全新闻

开源字体渲染库 FreeType 出现高危漏洞，可被黑客利用发起攻击

关键词安全漏洞3 月 14 日消息，Facebook 旗下的安全研究实验室日前透露，FreeType 在 2.13.0 以前的版本中存在安全漏洞，该漏洞代号为 CVE-2025-27363，漏洞评分为...

03月16日26 views评论

阅读全文

安全新闻

AWS S3 存储桶配置错误导致全美 29 州逾 8.6 万名医护人员信息泄露

关键词安全漏洞近日，一起涉及医护人员敏感信息的大规模数据泄露事件被发现，总部位于新泽西州的健康科技公司ESHYFT的超过8.6万条记录被暴露。网络安全研究员 Jeremiah Fowler 发现了一个...

03月16日29 views评论

阅读全文

安全开发

静态代码检查为啥要编译？揭秘代码体检背后的隐藏关卡！

你以为静态代码检查就是“看代码找错”？虽然静态代码检查是一种静态应用程序安全测试技术（SAST），且通常是在代码编译之前进行，但依赖于编译的静态代码检查更像给代码做“深度CT扫描”——必须拆解代码结构...

03月16日23 views评论

阅读全文

安全文章

利用JS文件挖洞

前言一次渗透测试中，白帽小哥发现了 2 处 CSRF 漏洞，但不幸的是 CSRF 不在赏金范围内。于是小哥开始尝试搜索JS文件，白帽小哥通常的做法是利用Chrome的开发者工具搜索特...

03月16日11 views评论

阅读全文

SRC漏洞挖掘之逻辑漏洞挖掘实战指南

在SRC（安全漏洞挖掘与利用）领域，逻辑漏洞是一类特殊且高价值的漏洞类型。不同于常见的代码执行、SQL注入等技术性漏洞，逻辑漏洞更多依赖于对系统业务流程的深刻理解和分析。这类漏洞往往隐藏在应用程序的业...

03月16日安全文章47 views评论

阅读全文

安全工具

EWSTool：Exchange邮件服务器的后渗透利用工具，用于从 Exchange 服务器下载邮件，搜索邮件，获取人员信息等

1► 工具介绍 EWSTool是一个针对EXCHANGE邮件服务器的后渗透利用工具。使用ews接口，实现人员邮箱列表获取、搜索邮件、下载邮件等实用功能。 2► 工具功能获取人员信息...

03月16日14 views评论

阅读全文

安全新闻

DeepSeek被越狱，可开发间谍软件

近日，安全公司Tenable的研究人员通过越狱技术诱导DeepSeek开发出键盘记录器和勒索软件等恶意代码。这意味着与其他主流大模型一样，DeepSeek同样无法抵御AI安全红队的提示工程攻击，被越狱...

03月16日15 views评论

阅读全文

安全文章

vulnhub靶场之loly靶机

前言• 挑战攻克该靶机30分钟靶机：loly靶机，IP地址为192.168.10.11攻击：kali，IP地址为192.168.10.6靶机和攻击机都采用VMware虚拟机，都采用桥接网卡模式文章涉及...

03月16日6 views评论

阅读全文

安全新闻

警惕！这个勒索软件组织更懂你：Babuk Locker 2.0幕后可能是中国人!

近期，Babuk Locker 2.0勒索组织的活动呈现出高度的活跃性和广泛的攻击性，其受害者数量众多，涉及行业和国家范围极广。从 2025年1月 27 日至3月14日的短短两个月内，Babuk 勒索...

03月16日86 views评论

阅读全文

安全新闻

暗网快报（0315）

【本期导读】1、意大利某科技公司BeyondTrust虚拟设备管理员权限遭低价出售2、委内瑞拉Datalink公司数据泄露，3.2万条记录被低价出售3、阿联酋教育部数据库遭泄露，近30万学生信息被公开...

03月16日25 views评论

阅读全文

Apache ERP开源框架OFBiz高危RCE 漏洞复现分析

红队实战：谈一谈红队中的钓鱼姿势实战版

开源字体渲染库 FreeType 出现高危漏洞，可被黑客利用发起攻击

AWS S3 存储桶配置错误导致全美 29 州逾 8.6 万名医护人员信息泄露

静态代码检查为啥要编译？揭秘代码体检背后的隐藏关卡！

利用JS文件挖洞

SRC漏洞挖掘之逻辑漏洞挖掘实战指南

EWSTool：Exchange邮件服务器的后渗透利用工具，用于从 Exchange 服务器下载邮件，搜索邮件，获取人员信息等

DeepSeek被越狱，可开发间谍软件

vulnhub靶场之loly靶机

警惕！这个勒索软件组织更懂你：Babuk Locker 2.0幕后可能是中国人!

暗网快报（0315）

在线咨询

微信