Aggregator

PostgreSQL 备份恢复项目 pgBackRest 的维护者 David Steele 宣布项目存档停止维护。Steele 解释说，过去 13 年 pgBackRest 是他倾注热情的项目，幸运的是大部分时间里他都有企业资助，他的长期赞助商是 Crunchy Data 公司，但这家公司被 Snowflake 收购了，而新东家无意资助他继续从事相关工作，因此他过去几个月一直在寻找继续这项工作的职位但没有成功，获得的赞助也远远未能达到维持项目运营所需的金额。因此他只能宣布停止维护。pgBackRest 被广泛视为是 PostgreSQL 生态系统最流行的运维工具之一，是功能最完整的 PostgreSQL 备份工具，支持块级增量备份、并行恢复、页面校验和验证等。

Spring Boot CloudFoundry Actuator 认证绕过漏洞 CVE-2026-22733

类属性污染实现全局权限提升、__globals__ 劫持覆盖 Flask SECRET_KEY 实现会话伪造、以及全局变量篡改实现 RCE。

在遇到vue框架的时候,使用相关插件进行接口相关的测试，往往更容易找到突破口。

FlixVision APK 应用。表面上以免费观看电影、电视节目为噱头吸引用户安装，背地里却悄悄占用用户宽带资源，私自搭建隐蔽的网络代理通道。

以 Node-tar 的 CVE-2026-24842 为例，分析 hardlink path traversal 是如何绕过提取目录边界的，以及在常见业务场景下，如何一步步演变成任意文件读取、文件覆盖，甚至进一步的代码执行风险

AI代码审计工作流实现-从想法到实现自动化日入CVE50+、CNVD若干

一种全新的AI Agent攻击方式（或许也不那么新）

文章详细分析了钓鱼样本执行从上线到维权，最后拿到CS的shellcode，文末有彩蛋

Linux ELF Shellcode 生成与 Fileless 实战，通过zigdonut生成Linux下的shellcode

泄露的claude code分析完后刚好和我上一篇写的openclaw的防御分析连续起来，两个超级大热门一起进行分析

heap是赛后复现，2.23太长时间没有做已经是很生疏了

本文聚焦于深度神经网络的全生命周期安全，系统性地剖析了人工智能模型在推理、训练及隐私保护三大环节面临的威胁。文章首先从理论层面定义了攻击面，随后结合经典例题，深入阐述了对抗样本的扰动生成机理、数据投毒的后门植入逻辑以及梯度泄露的隐私复原数学原理

决赛一共有3个题目有解， 一个misc，两个逆向 ，misc考的是流量分析，逆向考的是 安卓native逆向，和 exe逆向 这个题目全场12解，也是感受到了CTF 线上和线下的巨大差异，在AI时代，线上貌似谁都可以成为全栈，大家都很浮躁，静下心来学东西的人变少了，线下一脱离ai，就原型毕露了 (当然也包括我)，还是想要劝勉一下自己，希望自己不要浮躁，踏实求学

最近ActiveMQ出了两个有关Jolokia的新漏洞，之前都没看过ActiveMQ，借此机会分析一下，顺带把之前的几个重点漏洞也简单分析一遍。

模拟构建漏洞 PDF 响应载荷后发现，该载荷可异常驻留并嵌入 Adobe Acrobat Reader 内部，即便关闭 PDF、重启软件乃至操作系统，仍能持续触发恶意代码执行。

Apache ActiveMQ CVE-2026-34197 Jolokia 远程代码执行漏洞分析

面向移动安全分析场景的 6 阶段总控 Skill。用于统一调度 APK 静态侦察、流量与代码对齐、SO/JNI 深度分析、加密与漏洞综合分析、验证设计与报告交付流程。