JasperReports 命令执行问题
JasperReports是一个全面的商业智能(BI)产品系列,提供强大的静态和交互式报告、报告服务器和数据分析功能。这些功能既可以作为独立产品提供,也可以作为集成的端到端 BI 套件的一部分提供。当该组件中的jrxml文件或jasper文件是可控状态时,则可能会存在命令执行文件
- 1
- 1
- mechoy
- 发布于 2024-09-23 09:30:02
- 阅读 ( 18320 )
mechoy
使用xdbg附加blobrunner进程分析shellcode-自动解密API哈希
前言 在恶意软件分析过程中,恶意软件经常会在内存中注入一些恶意代码。这些恶意代码或shellcode有可能不是常规的PE文件,无法直接使用xdbg或ida进行分析。这种时候可以使用speakeasy来模拟确认...
- 1
- 1
- Sciurdae
- 发布于 2024-08-27 09:00:01
- 阅读 ( 18089 )
Sciurdae
2024 WMCTF-PWN(BlindVM babysigin evm magicpp)
2024 WMCTF PWN方向 做题人视角详细版
- 0
- 1
- 看星猩的柴狗
- 发布于 2024-09-20 18:05:00
- 阅读 ( 18085 )
etcd未授权到控制k8s集群
在安装完 K8s 后,默认会安装 etcd 组件,etcd 是一个高可用的 key-value 数据库,它为 k8s 集群提供底层数据存储,保存了整个集群的状态。大多数情形下,数据库中的内容没有加密,因此如果黑客拿下 etcd,就意味着能控制整个 K8s 集群。
- 4
- 0
- ocean
- 发布于 2024-09-20 10:12:09
- 阅读 ( 17935 )
ocean
若依(RuoYi)框架漏洞战争手册
当你在用若依时,黑客已经在用Shiro默认密钥弹你的Shell;当你还在纠结分页查询,攻击者已通过SQL注入接管数据库;而你以为安全的定时任务,不过是他们拿捏服务器的玩具。这份手册,带你用渗透的视角,解剖若依的每一处致命弱点——因为真正的安全,始于知晓如何毁灭它。
- 11
- 8
- Locks_
- 发布于 2025-05-07 09:00:00
- 阅读 ( 17500 )
Locks_
同态加密来袭!Javelin为AI嵌入向量穿上“安全铠甲”
在数字化时代,人工智能(AI)和机器学习(ML)正深刻改变着我们的生活和工作方式。其中,向量嵌入(vector embeddings)作为现代算法的核心概念,正扮演着至关重要的角色。它将抽象数据(如文本、图像或分类标签)转化为数值向量,让机器学习模型能够处理和理解复杂的数据。然而,随着AI的广泛应用,数据安全和隐私保护问题也日益凸显。今天,我们就来聊聊如何用同态加密(Homomorphic Encryption, HE)技术来守护AI嵌入的安全。
- 0
- 0
- Halo咯咯
- 发布于 2025-04-18 09:41:05
- 阅读 ( 17333 )
Halo咯咯
远程访问木马Cybergate RAT的样本分析
前言 CyberGate 是一种远程访问木马 (RAT),允许攻击者未经授权访问受害者的系统。攻击者可以从世界任何地方远程连接到受感染的系统。恶意软件作者通常使用此程序窃取密码、文件等私人信息。它...
- 0
- 0
- Sciurdae
- 发布于 2024-09-03 09:00:01
- 阅读 ( 16779 )
基于微调CLIP的多模态大模型安全防御
大模型在各种任务上都有广泛的应用,但是从其本质来说,扩大模型规模意味着需要增加训练数据的数量和多样性,这就需要从网络上抓取数十亿条数据,这个过程是无需人工监督的。 那么这也就会带来隐患,因为其中可能会有很多不适当的、有害的内容。 尽管现在模型的开发者普遍采用了过滤器和自动检查,但这种做法仍然会引入一些不适当的内容,最终导致模型产生不安全、有偏见或有毒的行为。
- 0
- 0
- elwood1916
- 发布于 2025-04-29 09:00:02
- 阅读 ( 13210 )
Bypass WAF (小白食用)
前言:现在绕过waf手法在网上层出不穷,但是大家好像忘记一个事情就是,思路比方法更有价值,大家对着网上一些手法直接生搬硬套,不在意是不是适合的场景,网上的文章,好像着急的把所有的绕过方法都给你罗列出来。没有传授给你相应的技巧。到最后,小白拿着一堆绕waf的方法却被waf拦在外面。
- 39
- 25
- xhys
- 发布于 2024-09-11 10:00:00
- 阅读 ( 6729 )
xhys
实战 | 对自己学校内网的渗透测试
一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。
- 21
- 19
- 越南王子
- 发布于 2024-08-20 14:32:36
- 阅读 ( 6573 )
越南王子
应急响应——让Linux下的隐藏手段(Rootkit)无所遁形
本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法;
- 6
- 3
- Ga0WeI
- 发布于 2024-10-08 09:00:02
- 阅读 ( 6366 )
Ga0WeI
怜芩
记edusrc挖掘的骚技巧
本文作者:Track-Tobisec,主要介绍edusrc入门的漏洞挖掘手法以及利用github信息收集的过程
- 14
- 9
- n3ewlit
- 发布于 2024-07-29 09:00:00
- 阅读 ( 6143 )
n3ewlit
麦当当
应急响应——全类型JAVA内存马排查
内存马在攻防中的是一个非常常见的手段,因此内存马排查也是每个应急人员必须掌握的技能,而在应急场景中遇到内存马的场景,基本都是基于java的web服务,所以此文主要从应急实践角度总结对一些JAVA常见内存马实现展开排查分析的经验;供防守人员参考;
- 4
- 0
- Ga0WeI
- 发布于 2024-09-26 09:00:02
- 阅读 ( 5934 )
Yu9