从 XSS 到远程代码执行:我是如何通过八重漏洞链攻陷 Steam Chat 系统的
本文详细剖析了安全研究员Zemnmez对Steam Chat的渗透测试过程,从一个简单的跨站脚本(XSS)漏洞开始,通过一系列巧妙的漏洞链利用,最终实现了远程代码执行(RCE)和完全系统控制。这是一次关于持久性和创造性问题解决的经典案例。
AI 驱动家庭渗透测试:利用 HexStrike-AI 实现全网络发现与攻防实战
本文记录了一次真实的家庭网络授权渗透测试,作者在Kali Linux上使用Gemini CLI控制的AI驱动安全框架HexStrike-AI,对192.168.1.0/24网络进行了完整的扫描、枚举与漏洞利用,并最终获得了一台系统的root访问权限。
智能摄像头如何将你的隐私变成暗网直播秀
作者购买智能摄像头以寻求安全感,却意外发现其成为了向暗网泄露个人隐私的渠道。通过一起涉及12万台IP摄像头被大规模入侵的韩国新闻事件,揭示了物联网时代隐私安全的脆弱性与技术暗流的威胁。
使用 AI 打造 2025 年高效日程的实践指南
本文详细介绍了如何利用ChatGPT Projects功能,通过一系列结构化的提问与文件上传,创建并持续编辑个人化的2025年日程表。展示了AI在信息整合与长期规划任务中的强大应用。
[大模型实战 06] 我的模型我做主:在 Kaggle 上用 Unsloth 极速微调 Qwen3
基础理论结束,咱们今天的重心是使用快速高效的微调库Unsloth在Kaggle的T4显卡上,用15分钟将Qwen3-4B模型微调成认主咱们的专属模型。
Burp Suite MCP + Gemini CLI:利用模型上下文协议将 Burp Suite 与 Gemini CLI 连接,加速授权测试中的侦察、分析与报告
本指南详细介绍如何通过PortSwigger官方MCP服务器扩展,将Burp Suite与Gemini CLI连接,使Gemini能够将Burp作为一套可通过MCP调用的工具集,用于审查代理历史、将请求推送到Intruder,从而加速授权Web安全评估中的侦察、分析和报告流程。
CVE-2025-4403 漏洞检测工具:WordPress 插件任意文件上传利用脚本
一个针对CVE-2025-4403漏洞的Python检测脚本,用于检测WooCommerce文件上传插件的未授权任意文件上传漏洞,支持批量扫描并自动识别可利用站点。
Repo-First 新范式:SpecKit + MCP 一键同步 Jira、Confluence、Figma
产品文档、架构设计跟代码越走越远。Jira 的Epics、用户故事跟代码仓库里的真实内容对不上。Confluence 页面写的设计方案,早就跟实际实现不是一回事。Figma 画的界面,在需求池里找不到对应条目。手写文档只要有人一上线改动,当场就过期。所谓「唯一可信源
FFmpeg 开发笔记(三)FFmpeg 的可执行程序介绍
外界对于FFmpeg主要有两种使用途径,一种是在命令行运行FFmpeg的可执行程序,该方式适合没什么特殊要求的普通场景;另一种是通过代码调用FFmpeg的动态链接库,由于开发者可以在C代码中编排个性化的逻辑,因此该方式适合厂商专用的特制场景。更多详细的FFmpeg
亚马逊商品详情 API 接入指南
本文详解亚马逊官方商品详情API:PA-API v5(面向第三方,免卖家权限,支持ASIN/关键词查询,覆盖标题、价格、主图、规格等核心字段)与SP-API(面向卖家,可获取自有商品全量后台数据)。强调合规、稳定、可持续,助力比价、导购、ERP等场景高效接入。
12,500 美元 GraphQL 漏洞:HackerOne 平台自身漏洞曝光事件剖析
本文深入分析了安全研究员0xrayan1996在HackerOne平台上发现的严重GraphQL信息泄露漏洞。该漏洞存在于报告协作系统的SaveCollaboratorsMutation操作中,导致受邀研究员的私人邮箱地址在未接受邀请前即遭泄露,凸显了专注安全的公司在访问控制检查上的疏漏。
技术解密:HackerOne 双因素认证绕过漏洞如何暴露两大安全缺陷
本文详细分析了一位安全研究员如何通过发现HackerOne嵌入式报告表单绕过了强制双因素认证要求,进而揭露了认证状态验证与跨域资源访问两大关键安全漏洞的技术细节与影响。
React2Shell 漏洞实战指南:使用 react2shell-guard 的完整防护方案
本文详细解析了React框架中的高危远程代码执行漏洞CVE-2025-55182(React2Shell),并介绍了开源工具react2shell-guard如何通过依赖扫描、自动修复、运行时检测和CI/CD集成,为开发团队提供完整的漏洞响应和防护方案。
当我花 30 分钟让 AI 占领了我的树莓派
周六晚上,我坐在屏幕前,花了30分钟,让一个叫Claude Code的 AI开发工具完成了OpenClaw的配置。当我看到终端里那一串绿色的"✅"时,一种奇妙的感觉涌上心头——我刚刚亲手为"硅基生命"打开了进入我个人设备的大门。
当使用自定义 Host 头时,cURL 中的跨源 Cookie 泄漏与注入风险
本报告详细描述了cURL工具中的一个安全相关行为:当HTTP请求中设置自定义Host头部时,该主机名会被用于Cookie匹配,且此行为在跨源重定向过程中持续存在,可能导致Cookie信息泄露或注入风险。
水资源如何滋养新经济 -- 赛莱默与 GWI 联合发布《驾驭人工智能革命的影响》重磅报告
上海2026年2月6日 /美通社/ -- 人工智能领域的突飞猛进每年或将新增30万亿升用水需求,而这一切又将对这颗星球最宝贵的水资源产生何种影响?我们究竟应该如何通过有效的策略、技术、投入与合作机制守护水资源,保障水安全?
/ 更新说明(补充完整信息)-- 国际 AI 安全报告主席办公室 /
由国际AI安全报告主席办公室于2月4日通过PR Newswire发布的题为《“2026年国际AI安全报告”揭示快速变化与新兴风险》的新闻稿中,我们获悉该组织已做出一些更改。以下为完整版最新版新闻稿,更多详情请见文末:
IGI 收购 AGL,扩展其在彩色宝石认证领域的全球布局
印度孟买和纽约2026年2月4日 /美通社/ -- 全球规模最大且最受信赖的独立钻石分级与认证机构之一——International Gemological Institute(IGI)今日宣布收购American Gemological Laboratories(AGL),后者是彩色宝石分析与产地报告领域的全球领先机构。
信任无界,向云而生:从《构建云信任》报告透视 AI 时代安全防御新范式
北京2026年2月4日 /美通社/ -- 从最初只能完成基础问答的聊天助手,到如今不断深入业务核心、具备自主行动能力的AI Agent,生成式AI浪潮正迈入企业创新的深水区。当AI开始深度介入企业运营和决策流程,企业应当如何更坚实地构建信任底座以建立AI时代安全防御
Motors WordPress 主题安全检测工具:一键识别登录页面与漏洞验证
本项目提供了一个针对WordPress Motors主题的自动化检测工具,可批量扫描域名并识别含有特定登录表单的页面,同时附带CVE-2025-4322漏洞的详细分析与概念验证。
现代 Web 应用的预渗透测试:平衡高风险漏洞与细节安全
本文探讨现代Web应用渗透测试的核心理念,强调不应仅关注高风险漏洞,而需采取整体方法平衡处理重大与细微安全问题。文章详细分析了客户端渲染架构带来的新挑战,并深入讲解了客户端加密的实现审查与风险识别方法。
