2026年4月30日
发现 Copy Fail,这是一个毁灭性的 Linux 内核漏洞 (CVE-2026-31431),影响 2017-2026 年的内核。一个仅有 732 字节的 Python 脚本即可让非特权用户在 Ubuntu、RHEL、SUSE 等系统上获得 root 权限。它绕过页面缓存保护,悄无声息地破坏 setuid 二进制文件,且无需磁盘写入。了解谁受到影响、立即缓解措施,以及为什么这个可移植 LPE 超越 Dirty Pipe 和 Dirty Cow。现在就打补丁,保护多租户服务器、Kubernetes 和 CI 运行器。
发现 OneForAll,最强大的开源子域名收集工具,包含 50+ 模块,包括证书透明度、DNS 数据集、搜索引擎和暴力破解。利用自动验证、接管检测和 CSV/JSON 导出功能,快速收集数千个子域名。完美适用于渗透测试、漏洞赏金猎人和安全研究员。支持 Docker、海量 DNS 解析 (350k+/秒) 和多线程扫描。
发现 BBOT,这个递归互联网扫描器自动化侦察、漏洞赏金和攻击面管理。这个 Python powerhouse 将 Spiderfoot 的强大功能与现代自动化结合,比竞争对手发现 20-50% 更多的子域名。从被动 API 枚举到激进网络扫描,BBOT 通过 'subdomain-enum'、'web-thorough' 和 'kitchen-sink' 等预设处理一切。通过 pipx 安装,输出到 Neo4j/Discord,无需费力扫描多个目标。
发现 wechat-decrypt,这是解密 Windows、macOS 和 Linux 平台 WeChat 4.x 数据库的终极开源工具。从实时进程内存提取加密密钥,解密 SQLCipher 4 数据库,并通过时尚 Web UI 实时监控消息。特性包括图片解密(V2 格式)、通过 MCP 的 Claude AI 集成,以及低延迟消息流传输。非常适合需要访问 WeChat 加密本地数据的研发人员和开发者。包含跨平台内存扫描、WAL 文件处理和丰富的媒体解析。只需一条命令即可在几分钟内开始使用。
深入探索“PayloadsAllTheThings”,这是一个对Web应用程序安全至关重要的开源GitHub仓库。该项目由swisskyrepo开发,它汇集了大量渗透测试、漏洞赏金捕获和CTF挑战中不可或缺的有效载荷(payloads)和绕过技术。这个详细的资源涵盖了从SQL注入、XSS到API密钥泄露和配置错误等各种漏洞,并提供了实用的示例和方法。无论您是经验丰富的安全专家还是崭露头角的渗透测试员,该项目都能为您提供系统的知识和工具,以提升您的攻击性安全技能,是您网络安全工具箱中必备的一项资源。
Pydictor 是一款专为网络安全专业人士和爱好者打造的强大开源工具。这款基于 Python 的多功能字典生成器能够帮助用户创建高度定制化的词典,用于各类场景,包括暴力破解和安全测试。了解 Pydictor 如何生成通用词典、基于内容的词典以及社会工程词典,它在词条长度、字符类型和编码方面提供了灵活多样的选择。凭借其强大的配置功能和跨平台兼容性,Pydictor 是渗透测试或安全研究人员不可或缺的实用工具。探索它的各项功能,从基础词典生成到高级过滤和插件支持,Pydictor 为您的词典构建需求提供了全面的解决方案。