近期，有部分小伙伴发现自己在Chrome浏览器上安装的WeTab新标签页突然被禁用了，并显示扩展程序已损坏。

假设我们正在测试一个在线购物 Web 应用程序的安全性。这时可能会引出许多问题：我们能否用一张 10 美元的礼品卡支付 100 美元的商品？我们能否多次在购物车...

11 月 29 日，Lachlan Davidson 报告称 React 中存在一个安全漏洞，该漏洞允许未经身份验证的远程代码执行，其原理是利用 React 解...

TManager 安全运维管理包含漏洞管理、安全基线扫描及安全加固、命令助手等模块，专注于对系统安全漏洞进行全生命周期管理，核心功能包括：

由于本次更新中包含高风险安全漏洞的修复（CVE-2025-62507），尤其是存在远程代码执行与堆栈溢出风险，建议所有 Redis 用户立即升级至 8.2.3 ...

Go 1.25.1是一个重要的点版本发布，主要修复了net/http包中跨域保护组件的安全漏洞（CVE-2025-47910）。该漏洞可能导致跨域保护被意外绕过...

远程命令/代码执行 (RCE) 漏洞允许攻击者在目标服务器上执行任意的操作系统命令或应用程序代码。这是最高危的漏洞类型之一，成功利用通常意味着攻击者可以完全控制...

文件包含和路径遍历是当应用程序允许外部输入（通常来自用户）更改其访问文件的路径时可能出现的漏洞。想象一个图书馆，其目录系统被操纵以访问未对公众开放的禁书；类似地...

本地组策略(Local Group Policy)是组策略的基础版本，它面向独立且非域的计算机， 包含计算机配置及用户配置策略，如图1-1所示。可以通过本地组策...

CVE-2025-10966：使用 wolfSSH 时缺少 SFTP 主机验证。 当使用 wolfSSH 作为后端处理 SFTP 时，curl 管理 SSH 连...

当Web应用程序允许用户下载文件时，如果后端代码直接将用户请求的文件名或路径参数拼接到文件路径中，而没有进行充分的安全验证和过滤（特别是对目录遍历字符如 ../...

许多网站提供文件上传功能，例如用户上传头像、上传附件、导入数据等。当用户上传文件时，后端服务器通常会对文件进行一系列检查（如文件类型、扩展名、大小），然后可能进...

移动应用渗透测试是保障应用安全性与用户数据隐私的关键手段，尤其在2025年，随着移动应用生态的持续扩张与攻击技术的不断演进，其重要性日益凸显。首先，渗透测试通过...

CSRF (Cross-Site Request Forgery)，即跨站请求伪造，是一种常见的、具有欺骗性的 Web 安全漏洞。它允许攻击者诱导一个已通过身份...

近日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），并附上了详细的报告模板。这标志着企业在数据安全合规方面有了更明确...

--dbms=DBMS: 强制指定后端数据库类型 (e.g., mysql, mssql, oracle)。

ThinkPHP 3.2.3 版本的文件缓存驱动（Think\Cache\Driver\File）在 set() 方法中，将用户输入数据序列化后直接写入以 .p...

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 Model::find()、Model::delete() 和 Model::select() ...