Aggregator

一文弄明白8u20

遇到高版本java，但是目标又只能打JNDI，实战中10个jndi，8个都是这种情况，因为jdk版本限制得太死了，不过好在我们有绕过的手法 目前就两个 RMI打本地工厂类 LDAP 高版本一直以来都是打的返回反序列化数据 但是其实LDAP还是可以打本地工厂类的，像 RMI 的高版本一样的，一样可以很好的 rce，为高版本的JNDI又注入了新手法

Spring Security和Spring框架曝出两个高危漏洞（CVE-2025-41248和CVE-2025-41249），可能导致攻击者绕过企业应用中的授权控制机制。漏洞源于@EnableMethodSecurity特性与方法级注解结合使用时的泛型问题。受影响版本包括Spring Security 6.4.x/6.5.x和Spring Framework 5.3.x/6.1.x/6.2.x。建议升级至修复版本或重新声明安全注解以缓解风险。

我们要深入学习领会习近平总书记关于网络强国的重要思想，坚定不移贯彻总体国家安全观，全力防范重大风险挑战，加强维护国家网络安全体系和能力建设，为中国式现代化行稳致远筑牢国家网络安全屏障。

分享一篇文章。

分享一篇文章。

2025年8月，深瞻情报实验室监测到APT组织“伪猎者”利用vhdx文件钓鱼攻击活动，后阶段通过Github仓库中转指令以及下发仓库托管的加密载荷，进行定向窃密攻击活动。

Windows-Linux兼容层软件Wine推出10.15版，支持Unicode 17.0表情符号，并初步测试NTSYNC以提升Windows软件和游戏在Linux上的性能。

当前环境出现异常问题,需完成验证后方可继续访问。

9 月 15 日消息，全新小米 17 系列手机官宣将于本月发布，而非此前网传的小米 16 系列。罗永浩与餐饮公司西贝的“预制菜”争论还在升级，9 月 14 日晚间，西贝创始人贾国龙在微信群的一段发言被流传开来。贾国龙：“我应对方式有错”。

DLL劫持漏洞挖掘以及白+黑的实现

十分紧急！NPM生态多个超亿下载量组件再次遭受恶意代码投毒，泄露开发者系统敏感数据及token秘钥，影响范围极大。

操作系统安全中合规是基础而非目标。实际操作中需平衡安全与性能。预加固企业级Linux提供主动安全防护和合规性支持，减少资源消耗并降低风险。

In conversations about operating system security, “compliance” tends to dominate. But for those of us responsible for keeping infrastructure secure—whether facing STIG implementations, CIS benchmark requirements, or FedRAMP assessments—we know the truth: compliance is the baseline, not the goal. Throughout my career, I have been involved in the security space—serving on governing boards for OSS..

The post Why Security-Minded Teams Are Turning to Hardened Linux Distributions appeared first on Security Boulevard.

XXL-Job hessian反序列化实战利用初见端倪在一次资产搜集中遇到了 xxl-job 的站点，直接上综合漏洞利用工具扫出来存在 /api 未授权接口，但是在尝试进行命令执行和注内存马注入的时候都失败了（后面知道这是因为该站以前已经被检测出过这个漏洞了，所以一些常见的链子都被修复了）感觉工具利用方式比较单一，选择手动打一遍。这里还是选择打了一下比较常见的 spring aop 利用链，该链的

当前环境异常，需完成验证后方可继续访问。

对爬虫的规范

OpenAI 推出 GPT-5 Codex 模型，提升代码生成与重构能力，在 SWE-bench 验证基准测试中成功率达 74.5%，较 GPT-5 提升 17.4%。该模型已逐步应用于 Codex 实例，并将在数日内全面上线。

英伟达澄清RTX 50系列显卡公版未停产，因限量版缺货导致下架。未来将继续供货。

GitHub宣布引入抗量子密码学保护SSH连接，推出混合密钥以兼容现有系统并抵御未来量子攻击。该密钥包含传统和抗量子算法，已获NIST推荐。此举为行业转型的一部分，安全团队需提前准备以应对潜在影响。