阿斯特
JsRpc+Yakit热加载实现明文编辑加密发包
引言 在渗透测试过程中,常常会遇到前端对请求数据进行加密的情况,增加了分析与利用的难度。传统方法通常依赖于 JavaScript 逆向工程,不仅可能需要搭建复杂的运行环境,即使完整提取了加密代...
- 4
- 5
- all
- 发布于 2025-07-14 14:03:47
- 阅读 ( 5894 )
all
攻防渗透集锦JS泄露突破多个后台
记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分离网站下渗透突破思路呢,文章为笔记复制故无社区水印,欢迎转载 但请标明社区原创地址
- 21
- 24
- 一天要喝八杯水
- 发布于 2025-09-10 09:00:00
- 阅读 ( 5858 )
一天要喝八杯水
如何通过利用源 IP、IDOR 和信息泄露漏洞绕过 WAF 来发现 SQL 注入漏洞(翻译转载)
在本文中,我将通过一次对斯里兰卡当地最大的供电局网站中的实战SQL注入挖掘分享如何通过利用源IP、IDOR和信息泄露漏洞绕过WAF来发现SQL注入漏洞
- 5
- 7
- Gus616
- 发布于 2025-02-21 09:00:02
- 阅读 ( 5779 )
未授权服务加固与泛解析字符绕过
面向公网资产多轮加固的业务、异常的业务,通过泛解析字符让服务抛出异常信息回显,定位到无需认证的位置,缩短未授权业务测试的日常时间成本。
- 17
- 13
- echoa
- 发布于 2025-04-22 16:44:26
- 阅读 ( 5738 )
提示词注入实战—通过在线靶场看提示词注入手法
本文通过一个在线靶场,希望帮助大家更好的理解提示词注入的相关手法。这个靶场拿来练习也是很不错的,尤其是现在的AI靶场很少,像经常使用的那些又修复的很快。
- 6
- 6
- ansdjkfasfbkas
- 发布于 2025-09-30 09:00:01
- 阅读 ( 5665 )
【转载】企业SRC支付漏洞&EDUSRC&众测挖掘思路技巧操作分享
案例的描述蛮详细的,师傅们可以多看看,或者直接上网找下对应的资料,漏洞报告文档之类的看看,还是对于我们后期的一个学习还行有帮助的!
- 5
- 9
- routing
- 发布于 2025-07-18 09:00:01
- 阅读 ( 5661 )
routing
Cobalt Strike特征消除第三篇:通过UDRL学习RDI
本文将介绍Cobalt Strike(下文简称CS)的UDRL(User Defined Reflective Loader,即用户自定义反射加载器)的RDI(Reflective Dll Inject,即反射dll注入)的实现。CS的UDRL是前置式的RDI,本文主要包括反射dll加载器的代码实现和反射dll的代码实现两大部分,我会尽量以相似且精简的代码去告诉大家CS的UDRL是怎么工作的和它的代码是怎么实现的。
- 5
- 3
- r0leG3n7
- 发布于 2025-05-15 09:50:19
- 阅读 ( 5638 )
Tomcat内存马之Upgrade构建调试分析
在现今攻防演练日趋常态化和网络安全检测设备检测技术越来越成熟的大环境下,传统的以文件形式驻留的后门文件极其容易检测查杀到,随之"内存马"技术开始登上历史的舞台。在JAVA安全知识体系中JAVA内存马也是必须要学习的一个关键板块,本篇文章主要介绍Tomcat-Upgrade型内存马
- 1
- 0
- Al1ex
- 发布于 2025-03-06 09:00:02
- 阅读 ( 5577 )
多语言和多口音音频大型语言模型的越狱攻击
本文将深入探讨多语言音频模型在实际应用中面临的安全挑战,特别是音频越狱攻击的机制与影响。我们将学习攻击者如何利用模型的漏洞,通过精心设计的音频输入绕过安全机制,诱导模型生成不当内容。
- 0
- 0
- Werqy3
- 发布于 2025-04-28 09:00:02
- 阅读 ( 5565 )
大模型安全之数据投毒
数据投毒是针对模型训练阶段的攻击,通过向训练数据注入有害样本或篡改样本标签/特征,改变模型学习到的映射,从而在部署后降低模型性能或触发预设行为
- 0
- 0
- 洺熙
- 发布于 2025-08-21 10:02:08
- 阅读 ( 5546 )
SRC挖掘之“捡”洞系列
在SRC挖掘中,当输入单引号,出现报错,会不会高兴的跳起来,然后打开sqlmap,level设到最高,以为自己竟然能捡到洞,运气真好,结果却是does not seem to be injectable。
- 10
- 8
- _7
- 发布于 2025-08-01 09:41:38
- 阅读 ( 5538 )
_7
多智能体系统(MAS):如何让AI团队协作解决复杂问题?
你有没有想过,世界上最复杂的问题,可能并不是靠单一的力量解决,而是通过一群智能体的协作来完成?**多智能体系统(Multi-Agent System, MAS)**正是这样一种技术框架,它允许多个独立的智能体(Agents)通过协作、思考和适应,共同完成复杂任务。
- 0
- 1
- Halo咯咯
- 发布于 2025-05-06 09:00:03
- 阅读 ( 5527 )
Halo咯咯
AI红队实践学习路线
AI红队实践学习路线 1.人工智能基础 从工程师视角出发,代码驱动,系统思考 这个阶段不仅是学习算法,更是建立一套工程化的思维习惯。你写的每一行代码,都应思考其在整个系统中的位置。一个AI...
- 3
- 1
- 洺熙
- 发布于 2025-07-04 16:14:58
- 阅读 ( 5476 )
从开发者视角解析Gin框架中的逻辑漏洞与越权问题
以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路
- 3
- 2
- 7ech_N3rd
- 发布于 2025-02-28 09:04:21
- 阅读 ( 5335 )
AI 时代的 mcp 攻防探讨
模型上下文协议(Model Context Protocol, MCP)是一种用于在分布式系统中管理和共享模型上下文的协议,广泛应用于机器学习、区块链和物联网等领域。然而,随着MCP的广泛应用,其安全性问题也日益凸显。
- 0
- 0
- 逍遥~
- 发布于 2025-06-10 09:00:03
- 阅读 ( 5326 )
大模型投毒-训练、微调、供应链与RAG解析
人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性
- 1
- 1
- 洺熙
- 发布于 2025-09-04 09:00:02
- 阅读 ( 5303 )
从对抗到出洞:某金融APP 实战渗透与 Frida 反检测绕过(Rpc + Flask + AutoDecoder)
当抓包只剩密文、对抗又被检测,渗透是否就此停滞不前?本文跟着笔者在一次授权的金融类渗透项目中,如何使用rpc+frida+flask+autodecoder,一步步剥离算法,还原明文,最终产出漏洞。
- 5
- 5
- sola
- 发布于 2025-10-15 09:00:00
- 阅读 ( 5281 )
攻防演练技巧|分享最近一次攻防演练RTSP奇特之旅
师傅们在攻防演练中,可以看看这篇文章,打视频监控系统拿权限分,下面就来介绍下这个RTSP漏洞。
- 2
- 0
- routing
- 发布于 2025-06-12 09:00:00
- 阅读 ( 5276 )