2026年1月10日
ChatGPT“僵尸代理”攻击:新型零点击漏洞如何窃取你的邮件、记忆与一切
想象一下:当你正在与ChatGPT愉快地聊天,让它帮你整理Gmail收件箱、总结Google Drive文档,甚至回顾你们的对话历史时,一个隐蔽的攻击链条已经启动。 攻击者发送的一封看似无害的邮件,或...
求知若饥,虚心若愚。
2026年1月10日
2026年重点关注的3类高价值漏洞
在漏洞悬赏这片高手林立的江湖里,想要脱颖而出、斩获先机,就不能再靠无头苍蝇似的瞎碰运气。你必须清楚地知道,猎枪该瞄准哪个靶心。漏洞的“流行趋势”总在变化,哪些会卷土重来,哪些将销声匿迹,取决于多重因素...
2026年1月8日
2026年1月7日
侦察之后做什么?从 JavaScript 到 Burp Suite 的高效漏洞挖掘实战指南
许多漏洞猎人都掌握侦察技巧:搜集子域名、收集 URL、下载 JavaScript 文件。但随后往往陷入僵局:找不到漏洞、没有实际影响、拿不到赏金。究其根本,是因为侦察并非最终目标。 侦察只能帮你勾勒出...
2026年1月7日
90%的白帽子都会踩的‘侦察’误区
90%的黑客都栽在这个侦察误区上,你也中了么? "工具越多=结果越好"? 通常的情况是这样的。一个黑客发现了一个目标,比方说 target.com,开始兴奋起来,立刻打开终端开始运...
2026年1月6日
React2Shell 的 CVE-2025-55182 深入技术分析
近期,React 维护团队披露了 一个未授权远程代码执行漏洞(RCE),该漏洞影响 React 服务器组件(React Server Components)。React 是海量网站技术栈和框架的核心依...
2025年12月30日
【文末有吐槽】如何将一个无害 XSS 提升为现实中的钓鱼Payload
前言 本文章将解释国外白帽大佬如何在一个网站的 SSO 登录页面上发现一处 XSS 漏洞,有人可能会认为这种类型的 XSS 毫无用处,因为通常需要受害者已认证才能执行后续的敏感操作,然而,这种说法是错...
2025年12月8日
机器“聪明”与人“狡黠”:黑客机器人如何用参数污染“突破”顶级WAF
简介 在最近的一次自主渗透测试中,国外研究团队的引擎在一个客户的应用程序中发现了一个有趣的 XSS (跨站脚本) 漏洞。 目标是一个运行在 Web 应用程序防火墙 (WAF) 后面的 ASP.NET ...
2025年12月3日
【CVE-2025-64755】如何在一个晚上发现 Claude Code 命令执行漏洞
本文将深入探讨了研究人员在Claude Code中寻找命令执行原语的过程中偶然发现的一个Bug,目的是向客户展示这项新技术的潜在风险。 流式HTTP MCP真的无害吗? 我们都知道允许员工在本地安装M...
2025年11月14日
快速语音克隆和情感控制-macOS 本地部署 indexTTS2 笔记
先说结论,B站出的这个开源语音大模型比阿里的RosyVoice效果要好很多,基本属于“天壤之别”了。 安装git-lfs brew install git-lfs 安装项目 git lfs insta...