
微信小程序全自动捡洞工具
工具介绍 MPScan 是一款为安全研究人员与开发者设计的 Windows GUI 一体化工具,专用于对微信小程序进行自动化安全审计。基于对 wxapkg 反编译工具的深度二次开发与功能拓展,本工具实现了从 自动提取 → 反编译 → 敏感信...

工具介绍 MPScan 是一款为安全研究人员与开发者设计的 Windows GUI 一体化工具,专用于对微信小程序进行自动化安全审计。基于对 wxapkg 反编译工具的深度二次开发与功能拓展,本工具实现了从 自动提取 → 反编译 → 敏感信...

导语:一个认证绕过漏洞,一扇向攻击者敞开的VPN大门,一个活跃超过一个月的勒索攻击行动。Check Point于6月8日紧急发布安全公告,披露其VPN产品中的IKEv1认证绕过漏洞已被Qilin(麒麟)勒索软件团伙武器化。CVSS评分9.3...

导语:2026年上半年,Instagram用两次重大安全事故(1月的密码重置逻辑漏洞、6月初的AI客服劫持事件)把自己送上了全球安全圈的”耻辱柱”。表面上看,这是一次又一次的技术失误。但如果把时间线拉长,叠加5月Me...

导语:高考结束,骗子与黑客的”下半场”才刚开始。考生查分、填志愿、晒通知书的每一个瞬间,都可能成为数据泄露的入口。近年来,黑客攻击招生平台、志愿填报网站的消息时有所闻,部分考生的姓名、身份证号、家庭住址被批量窃取,在...

导语:2026年5月12日,一名匿名安全研究员在GitHub上公开了YellowKey的完整概念验证代码,声称该漏洞能完全绕过Windows BitLocker全盘加密——无需密码、无需恢复密钥,只需一个U盘和数次重启。这名自称”...

导语:最近Instagram三大安全漏洞闹得沸沸扬扬,舆论都在骂Meta不作为。但作为一个看惯了攻防对抗的紫队观察者,我的关注点不太一样——这帮黑客的赚钱思路,真是绝了。从账号劫持到封号勒索,从数据倒卖到”解封”诈骗...

1、简介 Jenkins 是基于 Java 开发的开源软件项目,主要用于 CI (持续集成)、项目管理等。Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 2、服务探测与发现 fofa: app=”Jenk...

导语:Verizon第十九版《数据泄露调查报告》扔出一颗深水炸弹:漏洞利用以31%的占比首次超越凭证滥用,成为数据泄露的第一大入口。而这个数字背后,更危险的趋势是AI正在把漏洞武器化的时间压缩到负7天——即补丁还没上线,exploit就已经...

* 本文原创作者:zzz66686,本文属FreeBuf原创奖励计划,未经许可禁止转载 1. 前言 前几日,笔者在exploit-db上发现了一个kill.exe的溢出漏洞,在众多的UAF漏洞中,这种单纯的溢出漏洞简直如一股清泉一般,遂将其...

导语:只需点一下链接,攻击者就能拿到你GitHub账号的完整控制权——读写所有私有仓库。最近,安全研究员Ammaraskar(阿马拉斯塔卡尔)公布了这一VSCode漏洞的完整技术细节,向我们展示了攻击者如何利用WebView的消息传递机制,...