先知技术社区

本文围绕2026年3月31日axios在npm上发生的供应链投毒事件展开分析，系统梳理了恶意版本 0.30.4 与 1.14.1 的发布时间线、投毒方式及完整攻击链，说明攻击者如何在未修改axios主体运行时代码的情况下，通过新增恶意依赖 plain-crypto-js 并利用postinstall脚本在 Windows、macOS 和 Linux 平台拉取并执行二阶段载荷。文章进一步拆解了 se

该文章记录了jeecgboot两个0day漏洞的挖掘过程

1. 深度分析Dridex分析 2. 介绍分析过程中的各种技巧 3. 编写脚本提取C2

漏洞来源漏洞描述n8n 是一个开源工作流自动化平台。在 2.2.0 和 1.123.8 版本之前，拥有创建或修改工作流权限的已认证用户可以利用 git 操作链接“从磁盘读取/写入文件”节点，从而实现远程代码执行。攻击者通过写入特定的配置文件并触发 git 操作，即可在 n8n 主机上执行任意 shell 命令。此问题已在 n8n 2.2.0 和 1.123.8 版本中修复。用户应升级到这些版本或更

Java 安全 · AI & Security 两大技术图谱正式上线！

Smartbi的RMIServlet接口由于其方法调用的功能，出现过非常多漏洞，以这个接口为切入点，开始分析其出现过的部分历史漏洞。

OpenClaw作为最近爆火的AI应用，其设计者已深刻意识到了外部攻击面的风险，并构建了多层的静态防护机制，但当攻击者利用长上下文的认知负载和任务导向性等手段逐步诱导AI忽略安全边界时，AI 似乎难以始终守住边界，最终仍可能执行恶意命令。

重新手搓了两个pwn的脚本，作用写在注释里面了

2026 CISCN&长城杯半决赛 AWDP-PWN 题解

本文根据Python代码的特性尝试绕过WAF防护

架构及其全面，比起寻常的webpwn的proxy之类更加接近实战

本文深入探讨了 JEEWMS v3.7中存在的四个远程代码执行漏洞。作者受SUCTF启发，详细展示了如何通过绕过鉴权逻辑来利用未授权的高危接口。指出其安全性问题本质上源于鉴权机制不严以及文件/路径处理逻辑中的过滤缺失。文章提供了详细的调试过程、Payload 构造及复现截图，具有实操参考价值。

泄露的claude code分析完后刚好和我上一篇写的openclaw的防御分析连续起来，两个超级大热门一起进行分析

前言比赛又被拷打了，等了好久这个题都没有wp，没招，只能自己梭哈了。环境搭建这里直接用的SfTian佬的复现平台打的题https://gz.imxbt.cn/。解题登录以及题目漏洞点分析首先访问题目，说明要https访问。https之后其实发现会跳转到localhost。这里需要输入接口/carbon/admin/login.jsp，才能正常访问。然后是找账户密码了，本地 repository/c

题目质量还是很高的，很有新意

WEBbabydc网络 桥接靶机：10.190.20.23Workgroup/Domain Name: XMCVEHostnames: CASTLEVANIADomain Controllers: XMCVEActive Directory（活动目录）的 Windows 域环境内网1 台 DC 域控（核心，存所有账号、哈希、权限）多台 成员服务器（Web、邮件、数据库等）一堆 Win10/Win1

本文围绕 polarisCTF 的 9 道密码学题目展开，包含整体思路、解题关键与完整的解题脚本

Hack for a Change 2026 March: UN SDG 3 Writeup

仿真场景、内网渗透、横向移动、权限提升、权限维持、evasion、ATT&CK

分析了当下最火的openclaw的防御模式