Aggregator

详细分析了最新的CVE-2026-22807

瀑布内容管理系统 是一款基于Java技术栈开发的企业级内容管理平台。

华夏erp-v2.3代码审计

自动化漏洞检测工具（如模糊测试、静态分析工具）已广泛应用，但漏洞修复仍严重依赖安全专家人工经验，形成“检测快、修复慢”的效率失衡，大量漏洞长期未修复，成为安全防护体系的核心薄弱环节。本文提出一种基于AI Agent及Workflow实现漏洞根源修复的端到端自动化技术，突破传统修复方案瓶颈。

C# 作为微软推出的面向对象编程语言，在桌面应用和游戏开发领域应用广泛。相比传统的 C/C++ 程序，C# 程序的逆向难度要低很多，因为它编译后的中间语言（IL）保留了大量的符号信息，这使得我们可以通过专门的工具将其反编译成几乎和源代码一样的形式。本文将从 C# 程序的特征识别开始，逐步介绍 dnSpy 工具的使用方法，以及如何处理混淆和加壳的程序，最后通过几个实际的 CTF 题目来巩固所学知识

关于四种Tomcat内存马的一些学习与思考

漏洞描述Kyverno 是一个为云原生平台工程团队设计的策略引擎。1.16.3 和 1.15.3 之前的版本在命名空格的 Kyverno Policy apiCall 中设有关键授权边界绕过。解析后的“urlPath”通过Kyverno准入控制器ServiceAccount执行，且不强制请求仅限于策略命名空间。因此，任何有权限创建命名空间策略的认证用户都可以让 Kyverno 使用其准入控制器身份

禅道最新版的一个任意文件读取，两个任意文件删除

在渗透测试过程中，代理配置与 IP 管理是新手阶段经常遇到却又容易混淆的问题。本文从实际使用场景出发，介绍了代理池的基本搭建方法，并对上游代理与下游代理的概念进行了通俗说明，随后结合 BurpSuite 与 Yakit，详细演示了上下游代理的配置过程，帮助读者理清代理链中流量的走向。本文适合刚接触代理配置的安全学习者参考，旨在帮助新手快速理解并完成基础代理链的搭建与使用。

记一次某管理服务器审计拿下CNVD高危证书过程

DeepChat FilePresenter 组件未校验路径参数，导致通过 ../ 路径遍历可读写 userData 目录外任意文件，包括明文存储的 API 密钥。

MindsDB Pickle 反序列化远程代码执行漏洞挖掘

在数字化浪潮席卷全球的今天，代码安全已成为企业生存的命脉。从GitHub到GitLab，从开源项目到企业私有仓库，代码泄露事件频发，让无数开发者夜不能寐。

记一次漏洞挖掘，借鉴的是D-Link DIR 615645815 service.cgi远程命令执行漏洞的思路，定位system危险函数，然后去看看能否控制参数等。

Agentic AI Is Reshaping Security Faster Than Traditional Defenses Can Keep Up
Agentic artificial intelligence is fundamentally altering organizational workflows and how risk materializes. In 2026, emerging cybersecurity trends will push organizations to move from deterministic, rule-based risk models toward adaptive models built for autonomous, non-deterministic systems.