着大型语言模型(LLM)在商业和社会领域的广泛应用,其安全性已成为一项关键议题。本文旨在为LLM安全领域奠定基础,阐述其核心定义、原则、面临的主要威胁,并介绍相关的治理框架,以展示LLM安...
AI红队实践学习路线 1.人工智能基础 从工程师视角出发,代码驱动,系统思考 这个阶段不仅是学习算法,更是建立一套工程化的思维习惯。你写的每一行代码,都应思考其在整个系统中的位置。一个AI...
理解大模型安全的全景视图 要真正掌握大模型安全,我们首先需要建立一个全景式的认知框架就像建筑师在设计摩天大楼时必须考虑地基、结构、电梯系统和消防安全一样,大模型的安全也需要从生命周...
LLM安全基础 在深入探讨大语言模型(LLM)的安全风险与防护策略之前,建立一个清晰、坚实的基础认知至关重要。这不仅是为了确保后续讨论的有效性,更是因为对核心术语、基本原则及其内在逻辑的...
LLM概述与全景 1 什么是 LLM? LLM是基于深度神经网络架构的预测模型。在通过在海量的语料库上进行大规模训练,学习并内化语言的统计规律,语义关联及上下文依赖, 训练目标通常是预测序列中的下...
在测试过程中,常常会遇到jwt的泄露,但是在测试时,无论加什么header,如何改uri,最后的结果不是401,就是404。不妨试一下同IP站点或者相似站点。
JMH,即Java Microbenchmark Harness,是专门用于代码微基准测试的工具套件。主要是基于方法层面的基准测试,精度可以达到纳秒级。该组件存在一个未被别人公开过但目前来说实战意义不大的反序列化漏洞,仅可当作思路阅读
最近挖到的中高危漏洞,既没靠 `0day` 这种 "王炸",也没搞复杂利用链 "炫技",纯靠瞪大眼睛当 "人肉扫描器",连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午,随手改了个藏在 `JSON` 数据深处的小参数,系统突然像短路反馈了全新的信息,反常的响应直接暴露未授权访问的 "马脚"。当时激动得差点把咖啡泼到键盘上,看着满地咖啡渍才顿悟 —— 原来倒掉的咖啡,比直接喝咖啡提神一百倍
契约锁JDBC RCE漏洞分析
@X1r0z 师傅的《H2 RCE在JRE 17环境下的利用》文章的后续挖掘发现
当我看到前端没任何功能点时,是绝望的;看到登录到系统后端只调用了两个接口时,是绝望的;看到js中一堆接口,但大多数都是403时,是绝望的;找到一个能调通的接口,但不知道参数名时,是绝望的;找到参数名,但是不知道传参的值时,是绝望的
这次的渗透测试范围特别广,包含整个市里面的好多政企单位和学校,资产多,测试起来也就比较简单。下面简单给师傅们分享下一些渗透测试上面的漏洞复盘,给新手师傅们,特别是没有参加过渗透测试的师傅们给点经验。
利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等
1.背景 2025年3月,Solar应急响应团队成功捕获了888勒索家族的加密器样本。实际上,我们最早接触该家族是在2024年10月,彼时888家族活跃度极高,频繁针对医疗行业发起攻击,受害对象以药店、医...
客户安排了一个App的渗透测试,但是App抓不了包,于是展开一顿分析,最终进入内网………….
师傅们在攻防演练中,可以看看这篇文章,打视频监控系统拿权限分,下面就来介绍下这个RTSP漏洞。
本文将深入解析各类隧道代理技术(如ICMP、HTTP、DNS、TCP/UDP等)的实现原理与实战应用,通过具体工具手法(如Ping、cURL、nslookup、Telnet等)演示如何伪装和转发流量,并详细介绍多级隧道代理的搭建方法与技巧,帮助读者掌握隐蔽通信、绕过防火墙限制的核心能力,提升网络渗透与安全防护的实战水平。
模型上下文协议(Model Context Protocol, MCP)是一种用于在分布式系统中管理和共享模型上下文的协议,广泛应用于机器学习、区块链和物联网等领域。然而,随着MCP的广泛应用,其安全性问题也日益凸显。
本文从php为切入点,详细讲了自己在设计一款半自动化开源审计工具时候的调研思路和开发过程