RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈

案例挑选以往攻防、SRC、渗透项目报告有启发性报告形成文章供各位读者师傅学习,漏洞思路并不局限于接口测试,利用现有信息打出组合拳也是不错的选择

黑盒背后的密钥:验证码加密解析与 AI 破局实录

一个平常不过的app加密竟然如此难搞?一开始不断受阻,不过最后也是破局并且复盘,而且又研究了AI利用的新思路,一键出结果,非常强的可实用性

动态容器注入-一种隐蔽的k8s权限维持方法

在k8s中,一种利用sidecar容器和liveness probe技术,实现的高隐蔽性的权限维持方法

  • 1
  • 1
  • Yuy0ung
  • 发布于 2025-10-27 09:00:01
  • 阅读 ( 680 )

一文了解图像的隐形噪声如何欺骗 AI

对抗图像是一种精心设计的输入数据,通过对原始图像进行细微修改,使机器学习模型(尤其是深度神经网络)产生错误的分类输出。

  • 2
  • 2
  • Wh1tecell
  • 发布于 2025-10-24 09:00:02
  • 阅读 ( 736 )

DeepTective: 基于混合图神经网络的自动化漏洞挖掘框架

PHP在Web应用中的普遍漏洞以及开发者、安全公司和白帽黑客为解决这些问题所做的努力。传统的静态、流和污点分析方法在性能上存在局限性,数据挖掘方法常受到误报/漏报的困扰,而近期基于深度学习的模型(主要是基于LSTM)并不天生适合程序语义等图结构数据。DeepTective是一种基于深度学习的PHP源代码漏洞检测方法,其核心创新在于采用混合架构,结合门控循环单元(GRU)处理代码令牌的线性序列(语法信息),以及图卷积网络(GCN)处理控制流图(CFG)(语义和上下文信息)

  • 0
  • 0
  • Bear001
  • 发布于 2025-10-23 09:47:12
  • 阅读 ( 742 )

揭秘AI自动化渗透背后的迷雾

今年是Agent的主旋律,随着近期Blackhat DEFCON 以及各大赛事 会议的开展,AI与安全的话题不断碰撞,在这其中,AI自动化漏洞挖掘/渗透?AI是否能代替人类安全工作人员?或安全怎么才能不被AI代替? 一直是热门的话题 本文将以AI赋能安全方面,至少在明面上来说,目前产品工程与经营都比较完善的XBOW来进行分析 一同观看目前AI for安全的前沿在那一步?

  • 2
  • 0
  • 洺熙
  • 发布于 2025-10-22 09:46:28
  • 阅读 ( 1458 )

一文带你看懂fastjson2下的反序列化调用链完整过程

来分析一下fastjson2下的反序列化调用链全过程

  • 0
  • 1
  • fupanc
  • 发布于 2025-10-21 10:00:51
  • 阅读 ( 1925 )

【转载】某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞

这次文章主要是开始给师傅们分享目标指定的资产如何进行信息收集以及收集到对应的资产,如何快速有效的进行一个打点操作,写的都是我自己的实战经验,欢迎师傅们来交流,有些地方写的不足,希望师傅们可以补充。

  • 12
  • 6
  • routing
  • 发布于 2025-10-20 10:02:45
  • 阅读 ( 1802 )

RealVul: 基于大语言模型训练微调的PHP漏洞检测框架深度解析

LLM赋能安全领域前沿研究“甚少”,在研究该领域的前沿论文科研时发现了一个很开创性的漏洞检测框架,本文的核心目标是设计一个针对PHP漏洞检测的LLM框架RealVul,以弥补现有研究的不足。具体而言,关注如何从真实项目中定位漏洞触发点并提取有效样本、如何通过代码预处理突出漏洞特征、以及如何利用半合成数据扩充稀缺样本

  • 3
  • 0
  • Bear001
  • 发布于 2025-10-16 09:00:01
  • 阅读 ( 1223 )

从对抗到出洞:某金融APP 实战渗透与 Frida 反检测绕过(Rpc + Flask + AutoDecoder)

当抓包只剩密文、对抗又被检测,渗透是否就此停滞不前?本文跟着笔者在一次授权的金融类渗透项目中,如何使用rpc+frida+flask+autodecoder,一步步剥离算法,还原明文,最终产出漏洞。

  • 4
  • 5
  • sola
  • 发布于 2025-10-15 09:00:00
  • 阅读 ( 2143 )

实战-SRC从入门到精通超详细分析

前言 最近也是在学挖src,也准备分析一下自己的挖掘过程思路。在平时的挖掘src过程中,百分之99都是遇见的是登录框,一般思路都是测弱口令啊,登录框测sql啊,熊猫头识别接口拼接测试未授权啊,...

  • 11
  • 15
  • Werqy3
  • 发布于 2025-10-14 09:00:02
  • 阅读 ( 2390 )

【原创首发】全球首个“AI勒索软件”--纽约大学团队“PromptLock”深度剖析

1.背景 > 2025年8月,国际知名网络安全厂商 ESET 在 VirusTotal 平台上发现了一段用 Golang 编写的恶意代码,并将其命名为“PromptLock”。该样本被称为首个“AI 驱动勒索软件”。攻击者利用本地...

MCP安全协议:从攻击手法到最佳实践,全景解析

在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此同时,安...

  • 1
  • 0
  • Halo咯咯
  • 发布于 2025-10-11 09:57:18
  • 阅读 ( 1718 )

高版本jdk下的spring通杀链

jsjcw师傅提出的一条链子。只给了一个payload,然后这里来分析一下过程。

  • 2
  • 1
  • fupanc
  • 发布于 2025-10-10 09:00:01
  • 阅读 ( 2971 )

某bip漏洞挖掘-从0day到1day的伤心之旅

挖到的时候以为是0day,结果已经有补丁了,算是1day了。。。

  • 0
  • 0
  • Clown
  • 发布于 2025-10-09 09:00:00
  • 阅读 ( 2981 )

提示词注入实战—通过在线靶场看提示词注入手法

本文通过一个在线靶场,希望帮助大家更好的理解提示词注入的相关手法。这个靶场拿来练习也是很不错的,尤其是现在的AI靶场很少,像经常使用的那些又修复的很快。

浅谈Java Web中Word转换器与SSRF

在 Java Web 开发中,Word 转换成 PDF 是比较常见的功能。在实际开发时,通常会依赖现有的组件库来实现这一功能,但如果对这些库的实现细节不够了解,可能会面临一些潜在的安全风险。

  • 1
  • 0
  • tkswifty
  • 发布于 2025-09-29 09:00:00
  • 阅读 ( 2137 )

漏洞挖掘从黑盒到白盒-下篇

本文主要讲解如何根据线索对二进制文件进行漏洞审计查找

  • 1
  • 1
  • vlan911
  • 发布于 2025-09-28 10:00:01
  • 阅读 ( 4577 )

漏洞挖掘从黑盒到白盒-上篇

本文讲解针对某个网络设备的漏洞挖掘,如何从黑盒测试到权限获取,从哪些角度对二进制文件进行分析获取更大的权限

  • 1
  • 0
  • vlan911
  • 发布于 2025-09-28 09:00:00
  • 阅读 ( 4299 )

红队攻防 | 外网打点不靠0day组合拳拿下目标系统

本案例所使用的素材来源于过往参与的攻防对抗比赛及众测项目,选取比较有意思的案例分享,旨在拓展外网打点的思路与技巧。文中涉及的图片及相关信息均已进行了脱敏与处理,如有与实际场景存在相似或雷同之处,纯属巧合!

  • 18
  • 24
  • hyyrent
  • 发布于 2025-09-26 09:00:01
  • 阅读 ( 3996 )