CVE-2025-10966：使用 wolfSSH 时缺少 SFTP 主机验证。 当使用 wolfSSH 作为后端处理 SFTP 时，curl 管理 SSH 连...

当Web应用程序允许用户下载文件时，如果后端代码直接将用户请求的文件名或路径参数拼接到文件路径中，而没有进行充分的安全验证和过滤（特别是对目录遍历字符如 ../...

许多网站提供文件上传功能，例如用户上传头像、上传附件、导入数据等。当用户上传文件时，后端服务器通常会对文件进行一系列检查（如文件类型、扩展名、大小），然后可能进...

移动应用渗透测试是保障应用安全性与用户数据隐私的关键手段，尤其在2025年，随着移动应用生态的持续扩张与攻击技术的不断演进，其重要性日益凸显。首先，渗透测试通过...

CSRF (Cross-Site Request Forgery)，即跨站请求伪造，是一种常见的、具有欺骗性的 Web 安全漏洞。它允许攻击者诱导一个已通过身份...

近日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），并附上了详细的报告模板。这标志着企业在数据安全合规方面有了更明确...

--dbms=DBMS: 强制指定后端数据库类型 (e.g., mysql, mssql, oracle)。

ThinkPHP 3.2.3 版本的文件缓存驱动（Think\Cache\Driver\File）在 set() 方法中，将用户输入数据序列化后直接写入以 .p...

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 Model::find()、Model::delete() 和 Model::select() ...

ThinkPHP ≤ 3.2.3 或 ≤ 5.1.22 版本在处理用户可控的 ORDER BY 排序参数时，由于框架未对输入值进行充分的转义和验证，允许攻击者注...

近年来，针对国家关键基础设施和敏感政府部门的网络攻击呈现显著上升趋势，其中以高度定向化的网络钓鱼（spear-phishing）攻击尤为突出。本文聚焦于2024...

近年来，全球网络攻击频次与复杂度持续攀升，钓鱼攻击作为高发且高危害的威胁类型，对通信基础设施构成严峻挑战。2025年，韩国电信运营商KT宣布将在未来五年投入7....

随着数字基础设施的全面渗透，网络钓鱼（Phishing）已从早期的简单欺诈手段演变为高度组织化、技术融合化的社会工程攻击范式。本文基于2025年第二季度APWG...

Invicti 能够利用已识别漏洞以识别该站点存在的漏洞。如在检测到 SQL 注入漏洞的情况下，它将显示数据库名称作为利用证明。

在当代网络安全威胁图谱中，网络钓鱼（Phishing）以其低技术门槛、高成功率与强适应性，长期占据攻击链起始环节的核心地位。2025年《数据泄露调查报告》（Da...

网络协议分析是CTF比赛中Misc和Pwn类别题目中的重要组成部分，也是网络安全领域的核心技能之一。通过分析网络流量，参赛者可以发现隐藏的信息、识别攻击模式、挖...

尽管生物识别技术提供了较高的安全性，但研究表明，各种生物识别系统都存在被绕过的可能性。从简单的照片欺骗到复杂的硬件篡改，攻击者不断开发新的方法来绕过生物识别验证...

软件定义网络（Software-Defined Networking，SDN）作为网络架构的革命性创新，通过将网络控制平面与数据平面分离，实现了网络的灵活可编程...