ClickFix 是一种通过欺骗用户手动复制粘贴执行恶意命令的社工攻击手法。近年来因绕过安全软件能力强、检测难度大而广泛流行。本文详解其原理、常见变种、利用流程和防御思路。

CVE-2026-42945 是 NGINX ngx_http_rewrite_module 中的一个关键堆缓冲区溢出漏洞，2008年引入，18年来影响 NGINX 0.6.27 至 1.30.0。攻击者通过精心构造的 rewrite + set 指令组合，利用两阶段处理中 is_args 标志位状态不一致，导致缓冲区溢出，最终在受影响的服务器上实现远程代码执行。本文详解漏洞原理、利用过程及修复方案。

2026年5月11日，npm 官方仓库中 42 个 @tanstack/* 包被植入了恶意版本，攻击者利用 GitHub Actions OIDC 信任publisher机制、pull_request_target 错误配置、和运行时内存提取三重漏洞链，在合法发布流程下将窃密木马推送至84个恶意版本，直接威胁所有在5月11日安装受影响版本的用户。

FileFix 是一种通过伪造文件修复/转换服务，诱导用户下载运行恶意文件的社工攻击手法。与 ClickFix 不同，FileFix 不要求用户手动执行命令，而是让用户主动下载并运行"修复后"的文件。本文详解其原理、攻击流程、与 ClickFix 的区别及防御思路。

Ghost Bits 是 Black Hat Asia 2026 披露的一种新型攻击手法，利用 Java 中 char（16位）强转为 byte（8位）时高8位被静默丢弃的特性，让 WAF 看到无害的中文字符，而底层执行时变成危险 ASCII 字符，从而绑过 WAF 实现 SQL 注入、路径穿越、文件上传绕过等攻击。本文详解其原理、利用链条和防御方法。

2026年4月19日，Vercel 披露了一起供应链安全事件。攻击者通过被 Lumma Stealer 恶意软件感染的第三方 AI 工具 Context.ai，窃取了 Google Workspace OAuth 令牌，进而渗透进 Vercel 内部系统，枚举并窃取了客户项目的环境变量。本文详解攻击链、事件时间线、平台设计问题以及对 SaaS 安全的启示。

CVE-2026-33829 是 Windows Snipping Tool 的 NTLM 凭证泄露漏洞，攻击者通过 ms-screensketch: 深度链接协议，强制 Snipping Tool 访问攻击者控制的 SMB 服务器，窃取用户 Net-NTLM hash。本文详解漏洞原理、Responder 捕获方法及 NTLM Relay 攻击步骤。

CVE-2026-41940 cPanel/WHM 认证绕过实战笔记 做安全二十多年，第一次亲手打一个真在野被利用的 0day，顺手记录一下。 CVE-2026-41940 是 cPanel & WHM 的认证绕过漏洞，影响所有当前支持的版本。KnownHost 已经确认它在 in-the-wild 被当作零日使用。CVSS 8.8，妥妥的高危。 ...

从零用 Zig 重写 FRP：一步一步记录 前言 之前写的太简陋了，重新整理一遍，记录从零搭建的完整过程。 注意：本文基于 Zig 0.17.0-dev，API 可能随版本变化。 ...