- 博客(14)
- 收藏
- 关注
RSS订阅原创 CVE-2026-34621深度解析:潜伏四月的Adobe PDF零日漏洞
在数字化办公场景中,PDF 文档凭借兼容性强、格式稳定的特点,成为政府、企业及金融机构传递重要信息的核心载体,而 Adobe Acrobat/Reader 作为全球应用最广泛的 PDF 处理工具,也长期成为攻击者重点突破的目标。2026 年 4 月 12 日,Adobe 官方发布紧急安全公告(APSB26-43),正式披露 CVE-2026-34621 高危零日漏洞。该漏洞属于原型链污染类型,CVSS 评分 8.6,可直接实现远程代码执行,且已被攻击者秘密利用长达四个月......
2026-04-21 15:51:21
484
1
原创 OpenClaw WebSocket 无认证升级漏洞深度剖析与验证
OpenClaw作为轻量型 AI 智能网关框架,被广泛应用于企业内部 API 代理、任务调度等场景。此次披露的WebSocket无认证升级漏洞,属于CVSS 10.0满分高危漏洞,攻击者无需身份验证即可直接接管系统,危害极大。本文由“守阙安全团队”制作,从漏洞根源、实战验证、安全加固等方向,复盘漏洞本质与利用流程,并给出针对性的代码修复与防护建议,为企业安全部署使用OpenClaw提供参考。
2026-03-27 15:43:22
539
原创 Android APP安全测试之APK反编译
APK反编译是Android APP安全测试的核心逆向分析手段,也是挖掘APP底层安全漏洞的关键前置步骤。通过APK反编译,能高效还原APP的配置文件、资源信息与核心源码,精准定位APP在配置、代码、本地存储等层面的安全缺陷。
2026-03-10 14:25:50
384
原创 Fortify 实战:Java Web 应用代码审计与漏洞修复
在企业级应用开发中,静态应用安全测试(SAST) 是保障代码安全的关键环节,本文由“守阙安全团队”制作,选用 Fortify SCA CE 24.2.0(全称:Fortify Static Code Analyzer Community Edition 24.2.0)作为审计工具,聚焦典型的 Java Web 登录接口场景,完整演示从项目扫描、漏洞定位、人工验证到修复验证的全流程,帮助开发者掌握“工具扫描+人工核验”的代码审计实战方法。
2026-02-05 19:21:49
445
原创 Apache Struts 2 XML外部实体注入漏洞(CVE-2025-68493)排查方法
2026 年 1 月 13 日,Apache Struts 2 框架曝出 XML 外部实体注入高危漏洞(CVE-2025-68493),该漏洞覆盖 2.5.x 至 6.0.x 多个主流版本,攻击者可通过构造恶意请求窃取服务器敏感数据,甚至远程执行代码入侵内部网络。奇安信威胁情报中心监测显示,国内关联风险资产达 6015 个,涉及金融、政务、能源等关键行业,官方已紧急发布修复版本,建议用户立即升级并开展全网资产排查。
2026-01-17 17:52:23
1291
原创 浅淡新版《网络安全法》下安全渗透测试、APP安全评估与源代码审计的必要性
2026 年 1 月 1 日,新版《网络安全法》正式落地施行。此次修订不仅将关键信息基础设施运营者的违法处罚上限提升至 1000 万元,更实现了对人工智能、移动应用、网络产品供应链等新兴领域的监管全覆盖,标志着我国网络安全治理迈入 “严监管、重实效” 的新阶段。在这一法治框架下,安全渗透测试、APP 安全评估、源代码审计不再是企业可自主选择的“加分项”,而是落实法定安全义务、规避合规风险的“必修课”。
2026-01-11 17:21:30
607
3
原创 从快手事件看渗透测试在注册审核漏洞防护环节的作用
2025年12月22日,快手平台遭遇的大规模黑灰产攻击事件,将注册审核环节的安全短板暴露无遗。黑灰产团伙通过接码平台批量注册、AI绕过人脸识别、劫持已实名“肉鸡”账号等方式,轻松突破平台注册防线,获取1.7万个可开播账号,最终通过饱和式攻击击穿审核系统,造成恶劣影响。这一事件再次印证:注册审核作为平台安全的“第一道闸门”,其漏洞防护环节的有效性直接决定平台整体安全防线的牢固程度,而渗透测试正是强化这一环节防护能力的关键技术手段。
2025-12-25 10:58:14
1058
原创 浅析漏洞扫描、渗透测试与代码审计的关联与区别
在网络安全防护体系中,漏洞扫描、渗透测试、代码审计是三大核心技术手段,共同承担着“发现安全隐患、规避安全风险”职责。三者都以“找漏洞” 为目标,但在技术原理与适用场景方面存在差异,同时又存在层层递进、互补协同的紧密关联。
2025-12-17 16:45:45
996
原创 两分钟说清楚漏洞扫描与渗透测试的核心差异
很多人容易将漏洞扫描与渗透测试混为一谈,实则二者有着本质区别,“守阙安全团队”用两分钟时间,为大家捋一捋二者的核心差异,供大家参考。
2025-11-23 09:09:01
187
原创 HW重保场景下隐蔽端口穿透的剖析与防御
近年来,HW(护网)行动已逐渐成为网络安全领域的年度大考,其核心目标是检验企事业单位在真实网络攻击场景下的防御能力。通过对历年HW攻防进行分析,发现攻击者极少使用常规扫描暴露痕迹,更倾向于通过隐蔽端口穿透等技术,绕过防火墙、WAF等安全设备,悄无声息渗透业务系统。这类攻击手法因端口隐蔽性强、协议伪装度高,已成为防御方最棘手的威胁。
2025-11-18 16:18:54
576
原创 渗透测试核心技巧:从信息收集漏洞验证
在网络安全防御体系中,渗透测试是 “以攻代防” 的关键手段,通过模拟攻击者视角挖掘系统漏洞,帮助用户提前修复安全隐患。本文由奈思安全团队提供,从信息收集、漏洞探测、漏洞利用、权限提升四大核心环节,拆解渗透测试的实战技巧,助力安全从业者提升测试效率与漏洞发现率。
2025-11-18 10:09:21
1005
原创 干货分享:3个实用源代码审计技巧
无论是开发人员自查代码、提前规避漏洞,还是安全人员开展代码审计、深挖风险隐患,高效实用的代码审计技巧,都能让工作事半功倍......
2025-11-13 10:32:34
487
原创 APP安全评估:筑牢移动应用的安全防线
APP移动应用已深度融入金融、医疗、社交等核心领域,但APP相关的安全事件也同步激增,这暴露出APP面临三大核心风险:数据泄露风险(传输/存储环节未加密)、恶意攻击风险(逆向破解、植入恶意代码)、合规风险(违反《个人信息保护法》《数据安全法》)......
2025-11-12 15:57:39
959
原创 为什么漏洞扫描无法发现真正的业务逻辑漏洞?
在网络安全评估领域,“漏洞扫描已完成,高危漏洞全修复” 似乎成了许多企业心中的 “安全定心丸”。但现实往往是黑客能绕过 “修复完毕” 的表面防线,通过业务流程中的隐秘缺陷实现入侵 —— 这背后的核心矛盾,正是漏洞扫描的技术局限与业务逻辑漏洞的复杂性之间的根本错配 ......
2025-11-12 14:15:24
713
Web安全PHP环境下的SQL注入攻击手法与防御策略:基于参数化查询与输入验证的数据安全防护体系设计
2025-12-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人