RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

AI风控之生成图像鉴伪实战

本文将会分享如何对AI生成的图像进行有效的方法。这种场景在宏大的场合,也被称之为AI鉴伪,即判断多媒体内容如何是否是由AI生成的虚假图像。

  • 1
  • 0
  • elwood1916
  • 发布于 2024-07-08 09:48:33
  • 阅读 ( 2365 )

代码审计之nbcio-boot从信息泄露到Getshell

利用actuator接口的信息泄露获取token并最终实现未授权RCE

  • 7
  • 2
  • fibuleX
  • 发布于 2024-08-30 10:00:03
  • 阅读 ( 2334 )

xctf final 2024 httpd2 writeup

之前给xctf final出了一题pwn,这里分享一下解题思路。

  • 1
  • 1
  • noir
  • 发布于 2024-07-16 09:00:00
  • 阅读 ( 2334 )

代码艺术:浅析GDB注入魔法

概述 GNU调试器(GDB,GNU Debugger)是一个开源的、强大的调试工具,被广泛应用于类Unix的操作系统。GDB的主要功能之一是允许开发者在程序运行时观察和控制程序的执行流程。通过GDB,开发者可...

  • 0
  • 0
  • 十一
  • 发布于 2024-06-11 09:46:31
  • 阅读 ( 2330 )

转载|保姆级教程---前端加密的对抗(附带靶场)

​ JS加解密是目前黑盒渗透测试中非常大的痛点, 为了满足等保需求, 越来越多行业的内部系统使用了加密技术对HTTP的请求体加密, 增加签名, 时间戳, RequestId等防止进行数据包的抓包改包. 这篇文章就把网络上一些流行的JS逆向后进行数据包的抓包改包方式来个大汇总, 希望能够帮助到大家入门, 提高黑盒渗透的水平。 ​

  • 9
  • 7
  • lei_sec
  • 发布于 2024-09-05 10:00:00
  • 阅读 ( 2321 )

AI风控之伪造视频检测

Deepfake技术是一种利用人工智能深度学习算法生成虚假内容的手段。通过训练模型识别和模仿特定人物的面部特征、声音甚至行为方式,Deepfake可以合成出极为逼真的虚假视频或音频。这种技术的关键在于其高度的欺骗性,使得辨别真伪变得异常困难。

  • 1
  • 1
  • elwood1916
  • 发布于 2024-07-22 09:36:15
  • 阅读 ( 2295 )

攻防演练之迂回技战法真实案例

在攻防演练面对一套系统无从下手时,应该怎么采用迂回打法的思路通过代码审计拿0day砸进去呢?且看该案例

  • 3
  • 5
  • Y0ng
  • 发布于 2024-09-09 09:00:02
  • 阅读 ( 2288 )

新的 Diamorphine rootkit 变体在野外被发现

恶意软件中的代码重用现象非常普遍,尤其是对于那些开发难度大或难以用完全不同的代码实现的恶意软件组件。通过监控源代码和编译后的代码,我们能够有效地发现新型恶意软件并追踪野外环境中现存恶意软件的演变情况。

  • 1
  • 0
  • csallin
  • 发布于 2024-07-05 09:00:02
  • 阅读 ( 2263 )

SCRIPTBLOCK Smuggling:伪装 PowerShell 安全日志并绕过 AMSI 防护,无需使用REFLECTION和PATCHING

近年来,PowerShell在安全渗透测试者、攻击模拟团队以及一定程度的网络高级持续性威胁行为者中的使用率有所下降。这背后有多种原因,但主要是由于PowerShell v5版本和AMSI(反恶意软件扫描接口)引入了PowerShell的安全日志功能。

  • 0
  • 0
  • csallin
  • 发布于 2024-07-04 09:37:28
  • 阅读 ( 2175 )

Spring WebMvc.fn路由解析与权限绕过浅析

WebMvc.fn 是 Spring Web MVC 的一部分,它提供了一种轻量级的函数式编程模型,允许开发者使用函数来定义路由和处理 HTTP 请求。这种模型是注解编程模型的替代方案。 浅谈其中的权限绕过问题。

  • 3
  • 0
  • tkswifty
  • 发布于 2024-09-30 10:00:02
  • 阅读 ( 2162 )

万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE

之前实战遇到了,但是网上的poc懂得都懂,索性就专门研究一下漏洞成因,利用以及内存马方面

  • 0
  • 1
  • Bmth666
  • 发布于 2024-09-29 10:00:01
  • 阅读 ( 2122 )

越狱文生图大模型

本到图像模型面临的一个实际伦理问题是,它们可能生成敏感的、不适合工作的(NSFW)图像。NSFW是"Not Safe For Work"的缩写,意为"不适合在工作场所浏览

  • 0
  • 0
  • elwood1916
  • 发布于 2024-08-14 09:30:21
  • 阅读 ( 2052 )

你存在,在我们的攻击画像里

我们的心愿,就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来,希望对屏幕前每一个你都能有所帮助,哪怕只有一点点。

资产收集常用工具以及思路总结

渗透测试中拿到目标资产后需要对目标资产进行资产整理再进行测试,目标资产形式可能是企业名称、域名信息等。此篇文章主要总结对目标资产收集的一些思路、渠道和工具等。

Java Web审计中常见的任意文件操作绕过缺陷

随着研发安全开发意识的不断提高,很多情况下相关风险都有一定的止血措施。,任意文件操作是一个很常见的安全漏洞浅析代码审计中常见的一些绕过案例。

  • 2
  • 2
  • tkswifty
  • 发布于 2024-10-10 09:00:02
  • 阅读 ( 2018 )

利用js挖掘漏洞

在漏洞挖掘中,通过对js的挖掘可发现诸多安全问题,此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。

AI风控之伪造文本检测

AIGC技术可能导致大量低质量、重复性和垃圾内容的产生,这些内容可能会淹没真正有价值的信息,影响用户的体验,并可能导致互联网整体的信任度下降。例如,一些AIGC平台可以根据用户输入的关键词或简介,自动生成小说、诗歌、歌词等文学作品,而这些作品很可能是对已有作品的抄袭或改编。 为此,在风控场景下也很多必要检测AI伪造文本。在本文中将分享一种有效的技术,用魔法打败魔法,我们用AI来检测AI。

  • 0
  • 0
  • elwood1916
  • 发布于 2024-08-05 09:35:06
  • 阅读 ( 1970 )

一种颠覆防守方防守规则的流量隐藏方法

那么,在内网中能不能设计出一套方法,让两台主机之间没有连接,还可以交换数据,达到命令控制的目的?还真想出来了一个这样的框架。

Web应急基础指南

1 总述 web应急实际上是基于webshell和各类web漏洞如sql注入、RCE的应急响应。从抽象定义角度来说它独立于OS也就是windows或linux之外,但在实际操作中又常常与操作系统无法分开。 本篇中只涉及...

  • 5
  • 4
  • 阿斯特
  • 发布于 2024-09-25 09:00:01
  • 阅读 ( 1893 )

记一次基于Union的sqlmap自定义payload

hw期间某晚上10点,某知名小朋友审计了一套bc源码,有sql注入,注入的位置比较刁钻,sqlmap无法识别,不能取证 (公众号转发务必说明来源,标注作者!)

  • 3
  • 2
  • echoa
  • 发布于 2024-09-09 10:00:01
  • 阅读 ( 1874 )