这个故事要从几个月之前说起，也是一个甲方生产的现场，升级完了自家产品，本来想撤退，又感觉撤退过早显得技术含量不高。闲来无聊，看看自己正在使用的电脑上都有什么东西...

漏洞源于JavaScript引擎未能正确控制对象原型属性的修改，攻击者可以利用该漏洞制作恶意的PDF文件，诱导受害者打开特制的文件，在当前用户的上下文中执行任意...

Tomcat是Apache软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun和其他...

OpenIdentityPlatform OpenAM是一款基于Java开发的开源访问管理解决方案，以模块化可插拔架构为核心，提供认证、单点登录（SSO）、授权...

ActiveMQ是Apache出品的一款开源消息中间件，完全支持JMS 1.1和J2EE 1.4规范，能为分布式系统提供高效、稳定、安全的企业级消息通信服务。

Vite是一个现代化的前端构建工具，旨在通过利用现代浏览器的原生ES模块支持，提供快速的开发体验。广泛应用于Vue.js等项目的开发中。在其开发服务器模式下，V...

摘要：对于第一次做渗透测试的企业来说，"渗透测试到底怎么做？""流程是什么样的？""我需要配合什么？"是最关心的问题。本文以腾讯云渗透测试服务的完整服务流程为主...

在企业应用大模型与智能体（Agent）的过程中，传统应用漏洞在AI环境中被显著放大，升级为控制面攻击。当前AI生态系统普遍存在“便利优于安全”的系统性疏忽，导致...

而且麻烦的是，这种攻击从2025年11月就开始了，一直持续到最近才被公开披露（部分漏洞代码被外流至GitHub）

相信很多朋友，包括我都在使用 OpenClaw：让OpenClaw替你打工（五）：没花什么钱养了6只虾，还赚到了钱。

Skill是AI Agent系统中的一种高级能力封装模块，它主要用于将一组提示词逻辑(Prompts)、工具调用(Tools)、资源访问(Resources)以...

Step 3：修改server.py并在同级目录下放文件bad.so和ld.so.preload，ld.so.preload内容为/root/bad.so

通过本次实验，介绍了如何手工挖掘一个入口点为DllMain的DLL劫持漏洞。实际上，除DllMain以外，DLL还有着很多其他的入口函数，通过更加深入的挖掘，可...

很多企业担心报告中显示太多漏洞会影响等保测评。实际上，测评机构更看重的是"发现漏洞→修复漏洞→验证修复"的完整闭环。有漏洞不可怕，关键是修好了。

更关键的是，渗透测试专家还能将这4个漏洞串联起来，演示一条完整的攻击路径：通过弱密码进入后台 → 利用文件上传漏洞获取服务器权限 → 通过越权漏洞批量导出用户数...

摘要：每一次应用上线，都是一场安全与效率的博弈。开发团队赶工期、赶进度，安全测试往往是被压缩甚至跳过的环节。然而，"带病上线"的代价远比"推迟几天上线"高得多—...

理由：大型企业和金融机构对安全的要求最为严格，需要的是全方位、深层次的安全测试。腾讯云渗透测试依托七大安全实验室的专家资源和丰富的在野漏洞情报，能够提供行业内最...

摘要：很多企业在通过等保测评后，松了一口气，觉得"等保做完了，可以放心了"。然而，等保合规不是一次性工程——等保三级系统每年必须复测、安全产品需要持续运行、管理...

鉴于漏洞细节与 PoC 代码已公开，建议受影响用户立即采取修复措施，尽快升级到最新的版本或开启腾讯云安全主机安全应用保护（即 主机安全漏洞防御）和云防火墙全流量...