Go语言团队于2025年9月4日发布了两个紧急补丁版本：Go 1.25.1和Go 1.24.7。这两个版本主要包含一个重要的安全修复，涉及net/http包中的...

远程命令/代码执行 (RCE) 漏洞允许攻击者在目标服务器上执行任意的操作系统命令或应用程序代码。这是最高危的漏洞类型之一，成功利用通常意味着攻击者可以完全控制...

文件包含和路径遍历是当应用程序允许外部输入（通常来自用户）更改其访问文件的路径时可能出现的漏洞。想象一个图书馆，其目录系统被操纵以访问未对公众开放的禁书；类似地...

本地组策略(Local Group Policy)是组策略的基础版本，它面向独立且非域的计算机， 包含计算机配置及用户配置策略，如图1-1所示。可以通过本地组策...

CVE-2025-10966：使用 wolfSSH 时缺少 SFTP 主机验证。 当使用 wolfSSH 作为后端处理 SFTP 时，curl 管理 SSH 连...

当Web应用程序允许用户下载文件时，如果后端代码直接将用户请求的文件名或路径参数拼接到文件路径中，而没有进行充分的安全验证和过滤（特别是对目录遍历字符如 ../...

许多网站提供文件上传功能，例如用户上传头像、上传附件、导入数据等。当用户上传文件时，后端服务器通常会对文件进行一系列检查（如文件类型、扩展名、大小），然后可能进...

移动应用渗透测试是保障应用安全性与用户数据隐私的关键手段，尤其在2025年，随着移动应用生态的持续扩张与攻击技术的不断演进，其重要性日益凸显。首先，渗透测试通过...

CSRF (Cross-Site Request Forgery)，即跨站请求伪造，是一种常见的、具有欺骗性的 Web 安全漏洞。它允许攻击者诱导一个已通过身份...

近日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），并附上了详细的报告模板。这标志着企业在数据安全合规方面有了更明确...

--dbms=DBMS: 强制指定后端数据库类型 (e.g., mysql, mssql, oracle)。

ThinkPHP 3.2.3 版本的文件缓存驱动（Think\Cache\Driver\File）在 set() 方法中，将用户输入数据序列化后直接写入以 .p...

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 Model::find()、Model::delete() 和 Model::select() ...

ThinkPHP ≤ 3.2.3 或 ≤ 5.1.22 版本在处理用户可控的 ORDER BY 排序参数时，由于框架未对输入值进行充分的转义和验证，允许攻击者注...

近年来，针对国家关键基础设施和敏感政府部门的网络攻击呈现显著上升趋势，其中以高度定向化的网络钓鱼（spear-phishing）攻击尤为突出。本文聚焦于2024...

近年来，全球网络攻击频次与复杂度持续攀升，钓鱼攻击作为高发且高危害的威胁类型，对通信基础设施构成严峻挑战。2025年，韩国电信运营商KT宣布将在未来五年投入7....

随着数字基础设施的全面渗透，网络钓鱼（Phishing）已从早期的简单欺诈手段演变为高度组织化、技术融合化的社会工程攻击范式。本文基于2025年第二季度APWG...

Invicti 能够利用已识别漏洞以识别该站点存在的漏洞。如在检测到 SQL 注入漏洞的情况下，它将显示数据库名称作为利用证明。