Aggregator

智慧校园代码审计

src漏洞挖掘分享，人生中第一个src漏洞

一种通用的新的ssti利用方法

本文基于一套经过实战验证的安全审计 Skill 体系的设计与重构经验，系统讲解如何编写高质量的代码审计 Skill。

CyberStrikeLab内网靶场10

We found fake “verify you are human” pages on hacked WordPress sites that trick Windows users into installing the Vidar infostealer.

The post Hacked sites deliver Vidar infostealer to Windows users appeared first on Security Boulevard.

保姆级讲解CC1-7（跟踪代码调试+讲解）

CVE-2026-25921（Gogs LFS）漏洞结合代码分析成因

CVE-2026-30839（Wallos SSRF）——基于代码层面分析

结合代码分析：CVE-2026-28409 WeGIA 远程代码执行漏洞

via the comic artistry and dry wit of Randall Munroe, creator of XKCD

Permalink

The post Randall Munroe’s XKCD ‘Bad Map Projection: Zero Declination’ appeared first on Security Boulevard.

漏洞描述Kyverno 是一个为云原生平台工程团队设计的策略引擎。1.16.3 和 1.15.3 之前的版本在命名空格的 Kyverno Policy apiCall 中设有关键授权边界绕过。解析后的“urlPath”通过Kyverno准入控制器ServiceAccount执行，且不强制请求仅限于策略命名空间。因此，任何有权限创建命名空间策略的认证用户都可以让 Kyverno 使用其准入控制器身份

Langflow CSV Agent 远程代码执行漏洞（CVE-2026-27966）代码层面深度分析

从0到1分析了该漏洞的核心原理，并纠正部分误区

OpenClaw1、OpenClaw🦞 介绍与准备内容最近各个平台大量出现的“🦞龙虾”，本质上指的就是 OpenClaw（原 Clawdbot / Moltbot）这一类具备高权限、可执行能力的 AI Agent。发现了有关API密钥的漏洞我们再去官网看看https://github.com/openclaw/openclaw我不确定我电脑能正常安装不，所以如果有关审计部分，先静态分析一波。1.1

第四届阿里CTF官方writeup

漏洞描述N8N 是一个开源的工作流程自动化平台。在1.123.17和2.5.2版本之前，拥有创建或修改工作流权限的认证用户可以滥用工作流参数中的精心设计表达式，在运行n8n的主机上触发非预期的系统命令执行。这个问题已在1.123.17和2.5.2版本中得到修补漏洞影响评分：9.4版本：< 1.123.17； 2.x系列版本 < 2.5.2漏洞分析恶意请求构造后端触发链创建我们的恶意工作

主要分析某大型oa前台0day挖掘

网上没看到此漏洞的分析，所以自己分析看看何意味

TCP和SMB的多级网络级联的框架设计与实现