先知技术社区

漏洞来源一个评分十分的严重漏洞漏洞描述SandboxJS 是一个 JavaScript 沙箱库。在 0.8.34 版本之前，可以获取包含 Function 数组，从而导致沙箱逃逸。如果拥有包含 Function 的数组和 Object.fromEntries，就可以构造 {[p]: Function}，其中 p 是任何可构造的属。此漏洞已在 0.8.34 版本中修复漏洞原理CVE-2026-269

本人也是小白，经过分析总结多位大佬的相关文章，总结了C3P0反序列化利用链，大佬轻喷！

该漏洞源于服务端 authorized() 中间件在识别 Webhook 路径时使用了非锚定正则表达式，导致其错误地匹配了 URL 中的查询参数。远程攻击者只需在 API 请求末尾拼接特定的 Webhook 路径字符串（如 ?/webhooks/trigger），即可绕过身份认证、角色鉴权及 CSRF 防护，实现对服务端所有 API 端点的完全访问与操作。

本文分析帆软FineReport的channel接口反序列化漏洞（含TreeBag、ImmutableSetMultimap等多条利用链）、FineVis插件任意文件写入漏洞，并列举V8/V9老版本历史漏洞。

中国电信大可实验室是中国电信集团直属分支机构，现开启校园招聘

PolarCTF2026春季个人赛 Web方向全解

本文是一篇探讨如何将AI（尤其是大语言模型）与Web3智能合约安全审计深度结合的技术实践与方法论文章。基于实际工作经验，提出在AI时代，真正高效的自动化代码审计不应依赖简单的指令或具体的漏洞案例，而应回归“提示词编写（Prompt Engineering）”的基本功。

CISCN&CCB 2026分区赛AWDP-Web部分的题目复现

本文详细剖析了一个由配置失误（JWT 密钥硬编码）与后端沙箱设计缺陷导致RCE

目前通过我们人脑进行设计越狱提示词是存在瓶颈以及空档期，为了更好更全面的实现大模型越狱测试，用AI生成Prompt来实现大模型越狱是个更好的方向

skill介绍、skill使用、开发属于自己的skill。

2026阿里白帽大会 - Kaminsky重现：重新思考DNS辖区原则实现的安全性

CVE-2026-31975：Cloud CLI WebSocket Shell OS命令注入漏洞分析

前言这个漏洞是英国 MDSecLabs 的 Filip Dragovic 发现的，据作者讲述，这个漏洞由于很巧妙，它们在红队评估中从2025年1月就开始使用，直到2026年2月报告给微软后，才在3月的补丁星期二修复，这么看也用够本了，原文只是讲了漏洞的核心部分，本文会讲清楚这个漏洞涉及的概念、如何形成的，如何利用它原文地址：https://www.mdsec.co.uk/2026/03/rip-r

在`nf_tables`架构中，内核允许用户自定义设置过滤规则，用户可以通过设定规则来决定数据包的处理方式（这个处理方式由`verdicts code`决定），而规则是由一系列表达式组成的，中有一种表达式叫 `nft_immediate`（立即数表达式）。它的作用是：“如果匹配成功，就将某个值设置到`NFT_REG_VERGICT`中（一个用来存放verdict的值的寄存器）”。每条 rule 执

漏洞描述2026.2.14 之前的 OpenClaw 版本在网关中存在一个漏洞，无法净化 node.invoke 参数中的内部批准字段，使得经过认证的客户端绕过执行审核对 system.run 命令的批准门禁。拥有有效网关凭证的攻击者可以注入批准控制字段，在连接的节点主机上执行任意命令，可能攻破开发者工作站和配置执行器漏洞影响评分：9.9影响：<2026.2.14漏洞复现在项目根目录下安装依

Yokan 是一款专为网络安全从业人员、研究机构和企业红队设计的一体化 Web 渗透测试与外网打点平台。系统采用完全自定义的工具流架构，深度集成 ICP 官方查询、AI 智能 Fuzzing 推断以及“指纹到漏洞（Fingerprint-to-POC）”的自动化工作流。

Java 安全 · AI & Security 两大技术图谱正式上线！

报名开启｜2026阿里白帽大会议程发布

Gitdwn靶机贴近真实生产环境，融合了多种常见的安全漏洞与配置隐患，涵盖前端加密逻辑、XML外部实体（XXE）、内网服务暴露、Git版本控制信息泄露等多个核心考点，既考验渗透测试人员的基础操作能力（如端口扫描、目录枚举、密码爆破），也要求具备一定的代码逆向、漏洞组合利用与细节挖掘思维。