RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

windows com组件模糊测试入门

windows com组件模糊测试入门 什么是windows com组件 com全称是Component Object Model,即组件对象模型。按照微软官方的说法,COM 是一个平台无关的、分布式的、面向对象的系统,用于创建可交...

  • 0
  • 0
  • lawhackzz
  • 发布于 2025-01-21 10:00:02
  • 阅读 ( 3527 )

详解ELF动态信息

了解ELF动态信息,了解各个表之间的联系,并通过一题CTF题目进行实践。

  • 0
  • 0
  • Br04e55or
  • 发布于 2025-01-08 09:00:00
  • 阅读 ( 3507 )

【2024补天白帽黑客年度盛典】当今勒索病毒的攻与防

演讲议题:当今勒索病毒的攻与防

实战-SRC从入门到精通超详细分析

前言 最近也是在学挖src,也准备分析一下自己的挖掘过程思路。在平时的挖掘src过程中,百分之99都是遇见的是登录框,一般思路都是测弱口令啊,登录框测sql啊,熊猫头识别接口拼接测试未授权啊,...

  • 14
  • 16
  • Werqy3
  • 发布于 2025-10-14 09:00:02
  • 阅读 ( 3471 )

【补天白帽黑客城市沙龙-西安站】c3p0新链探索—深入挖掘数据库连接池的安全隐患

演讲议题:c3p0新链探索—深入挖掘数据库连接池的安全隐患

大模型安全风险概览

理解大模型安全的全景视图 要真正掌握大模型安全,我们首先需要建立一个全景式的认知框架就像建筑师在设计摩天大楼时必须考虑地基、结构、电梯系统和消防安全一样,大模型的安全也需要从生命周...

  • 0
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:55
  • 阅读 ( 3452 )

【2024补天白帽黑客年度盛典】大模型越狱攻击与评测

演讲议题:大模型越狱攻击与评测

当配置成了炸弹:利用 LibreNMS snmpget 配置篡改实现 RCE 的完整攻击链

本文详细分析了一个基于Laravel框架的系统LibreNMS中存在的配置篡改与任意命令执行漏洞。通过路由分析,揭示了系统中SettingsController类的update方法存在的安全隐患。攻击者可以通过篡改配置文件中的snmpget键值,利用shell_exec函数执行任意系统命令。

2.35版本以下堆沙盒绕过模板总结带例题

总结了2.35版本以下堆沙盒绕过的各种模板,包括2.27,2.29,2.31的原理和模板还有对应例题

  • 0
  • 0
  • sn1w
  • 发布于 2025-01-22 10:00:02
  • 阅读 ( 3429 )

实战Weevely管理工具免杀马研究即生成另类免杀马

生成另类免杀马

  • 3
  • 1
  • An0ma1
  • 发布于 2025-05-27 09:47:22
  • 阅读 ( 3427 )

LLM安全交叉领域与从业者技能矩阵

着大型语言模型(LLM)在商业和社会领域的广泛应用,其安全性已成为一项关键议题。本文旨在为LLM安全领域奠定基础,阐述其核心定义、原则、面临的主要威胁,并介绍相关的治理框架,以展示LLM安...

  • 1
  • 1
  • 洺熙
  • 发布于 2025-07-04 16:15:01
  • 阅读 ( 3426 )

大模型投毒-训练、微调、供应链与RAG解析

人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性

  • 1
  • 1
  • 洺熙
  • 发布于 2025-09-04 09:00:02
  • 阅读 ( 3401 )

破译之眼:AI重构前端渗透对抗新范式

利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等

【病毒分析】MEDUSA LOCKER勒索windows版本分析

1.背景 1.1 家族介绍 MEDUSA LOCKER 家族于 2019 年 9 月出现,MEDUSA LOCKER 家族通常通过有漏洞的远程桌面协议(RDP)配置获取受害者设备访问权限,攻击者还经常使用电子邮件钓鱼和垃圾邮件活...

LLM如何安全对齐(基础篇)

AI对齐旨在确保AI系统,其能力与行为同人类的价值观,意图及伦理规范保持一致 本文将系统性梳理AI对齐的基础原则,剖析理论与算法的挑战 1.模型固有的逆向对齐趋势 2.人类偏好非传递性导致的收敛困境 3.安全保障的系统性复杂性

  • 0
  • 0
  • 洺熙
  • 发布于 2025-08-21 09:00:03
  • 阅读 ( 3380 )

LLM 时代下的 SAST :Corgea 方案解读

本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。

  • 1
  • 1
  • wh4am1
  • 发布于 2025-05-20 09:00:00
  • 阅读 ( 3375 )

大模型应用提示词重构攻击

前言 用大模型LLM做安全业务的师傅们一定知道,提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器,其输出严格依赖于输入上下文。在无监督预训练之后,这...

  • 0
  • 1
  • elwood1916
  • 发布于 2025-06-03 10:00:02
  • 阅读 ( 3353 )

.Net Remoting 系列二:Solarwinds ARM 漏洞分析

本篇主要是以Solarwinds Arm产品介绍自定义ServerChanel的场景,漏洞分析利用是其次,事实上是去年挖的没有详细记录,后续写的,勿怪哈哈哈

  • 0
  • 0
  • g7shot
  • 发布于 2024-12-24 10:11:30
  • 阅读 ( 3341 )

当XSS遇上CSP与mXSS:绕过技巧与底层逻辑

在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。

  • 2
  • 3
  • 梦洛
  • 发布于 2025-09-09 10:03:29
  • 阅读 ( 3330 )

SkidMap复杂挖矿新变种排查

本次应急响应遇到入行以来排查过的最复杂挖矿——SkidMap。直接击穿我脆弱的知识体系,前后搞了很久才定性并清理,多亏网上前人公开的分析文章才让我能一步步溯源。故将排查内容整理出来,成为下一个前人供同行继续前进。