RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

间接提示注入攻击全面测评

大型语言模型(LLMs)正日益被整合到代理框架中,使其能够通过工具执行特定操作。这些代理不仅可以处理复杂的任务,还能够与外部系统交互,例如自动化流程和设备控制等。随着技术的进步,LLM驱动的代理被部署到越来越多的环境中,这些环境通常允许访问用户的个人数据,并能够在现实世界中直接执行操作,从而大幅提升了应用的广度和深度。

  • 0
  • 0
  • elwood1916
  • 发布于 2025-01-24 09:00:00
  • 阅读 ( 28765 )

某订货系统文件上传漏洞分析

某订货系统文件上传漏洞分析

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

前言 朋友圈看到有人转发了一篇“CVE-2024-25600:WordPress Bricks Builder RCE”,感觉挺有意思,点进去看了下,可是从头到尾看得我有点迷糊,本着打破砂锅问到底的原则,本文试图以漏洞挖掘者...

  • 0
  • 1
  • ybdt
  • 发布于 2025-03-26 09:35:24
  • 阅读 ( 26936 )

结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具,特别是“通义灵码”,帮助发现了多个高危漏洞,包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证,并分享了使用“通义灵码”的心得和体验。最后,作者总结了AI在代码审计中的优势和不足,并展望了未来的发展方向。

强制解码越狱大模型

安全对齐(Safety Alignment)在人工智能(AI)和大规模语言模型(LLM)的研究中,指的是确保这些模型的行为与预期的社会伦理和安全标准相一致,从而防止模型产生有害、偏见或不当的输出。这一概念源自对AI系统潜在滥用和误用的担忧,尤其是在这些系统被应用于开放、未经监管的环境时

  • 0
  • 0
  • elwood1916
  • 发布于 2024-12-19 09:31:59
  • 阅读 ( 26293 )

CVE-2023-41362 mybb模板注入漏洞分析

MyBB 是一款免费的开源论坛软件,使用php开发,支持用户自定义模板。Mybb<1.8.36的版本中,存在模板注入漏洞。

代码审计 - MCMS v5.4.1 0day挖掘

记一次 MCMS v5.4.1 代码审计,编号为 CVE-2024-42990&CVE-2024-42991。本文由笔者首发于先知社区的技术文章板块:https://xz.aliyun.com/t/16630

  • 3
  • 3
  • ve1kcon
  • 发布于 2025-01-02 10:00:00
  • 阅读 ( 26003 )

经典华为路由器漏洞复现详细分析(包括整个漏洞链)

本篇文章详细讲述了 华为路由器CVE-2017-17215的漏洞分析全流程,通过逆向分析出虚表来解决没有交叉引用导致漏洞定位困难的问题,以及漏洞url定位等多种在iot分析中会用到的tips

  • 0
  • 1
  • sn1w
  • 发布于 2025-01-15 10:03:13
  • 阅读 ( 25915 )

MCP Server 攻击面初探与思考

从安全角度来看,MCP 增加了更多 AI 安全实践机会,AI 安全再也不是议题中的 ”AI 赋能“,也不再是实验室层面才能进行的理论研究,未来也可能会像 SRC 挖掘那样百花齐放,鉴于 MCP 技术较新且笔者水平有限,有不足和错误之处请师傅们批评斧正

  • 2
  • 4
  • 385
  • 发布于 2025-04-10 10:38:27
  • 阅读 ( 25025 )

深度学习高级后门攻击分析与实现

深度学习后门攻击是一种针对深度学习模型的恶意攻击手段。攻击者通过在训练数据中植入特定的触发器,使得训练好的模型在面对含有这些触发器的输入时产生预定的错误输出,而在处理正常输入时则表现正常。这种攻击利用了深度学习模型的可塑性和对训练数据的依赖性。

  • 0
  • 0
  • elwood1916
  • 发布于 2024-10-22 10:00:02
  • 阅读 ( 24905 )

DTale代码审计-从身份认证绕过到RCE

D-Tale 是 Flask 后端和 React 前端的组合,为您提供了一种查看和分析 Pandas 数据结构的简便方法,允许用户方便地浏览和分析数据,而无需编写复杂的代码。Dtale 可以在 Jupyter Notebook 中或者独立的网页中运行,使得分析过程更加直观和高效。该系统存在身份验证绕过和RCE漏洞

Vulnserver.exe漏洞分析及利用

本章为笔者在学习二进制安全过程中的学习记录,vulnserver为公开的二进制漏洞的练习程序,本章节的内容为vulnserver.exe的漏洞分析及复现,主要通过windbg和ida结合进行分析。因为vulnserver存在多种调试漏洞,本文主要使用trun参数进行漏洞分析及利用。

  • 1
  • 1
  • XYZF
  • 发布于 2024-12-27 10:00:01
  • 阅读 ( 24574 )

记一次某CMS反序列化任意文件删除的审计过程

一开始心血来潮想审计PHP系统,于是网上找了找一些开源比较知名的系统,于是找到了某CMS最新版,通过观察最近好像没出过什么大洞,于是想审计一下,跟随之前大佬挖漏洞的思路,尝试挖掘一下最新版的漏洞。其中会涉及到一些漏洞基础原理,关键部分会进行模糊处理,希望各位大佬理解,菜鸡一枚,勿喷/(ㄒoㄒ)/~~

如何将 Node.js 应用程序中的文件写入提升为 RCE

在这篇博文中,我们将强调代码安全基础的重要性。我们会展示一个技术案例:攻击者如何能够把 Node.js 应用中的文件写入漏洞转化为远程代码执行,即便目标系统的文件系统是以只读方式挂载的。这个技术通过利用暴露的管道文件描述符来获得代码执行能力,从而绕过了这类加固环境中的限制。

  • 1
  • 0
  • csallin
  • 发布于 2024-11-01 10:00:01
  • 阅读 ( 24008 )

Flowable漏洞攻防战:深入流程引擎的利用

Flowable 是⼀个⽤ Java 编写的轻量级业务流程引擎。Flowable 流程引擎允许您部署 BPMN2.0 流程定义(⽤于定义流程的⾏业 XML 标准)、创建这些流程定义的流程实例、运⾏查询、访问活动或历史流程实例和相关数据等等。当flowable的模板处于可控状态时,则可通过添加恶意表达式从而实现执行命令。

  • 2
  • 1
  • mechoy
  • 发布于 2024-10-29 09:00:01
  • 阅读 ( 23450 )

若依(RuoYi)框架漏洞战争手册

当你在用若依时,黑客已经在用Shiro默认密钥弹你的Shell;当你还在纠结分页查询,攻击者已通过SQL注入接管数据库;而你以为安全的定时任务,不过是他们拿捏服务器的玩具。这份手册,带你用渗透的视角,解剖若依的每一处致命弱点——因为真正的安全,始于知晓如何毁灭它。

  • 13
  • 9
  • Locks_
  • 发布于 2025-05-07 09:00:00
  • 阅读 ( 23404 )

面向大模型的生成-利用式越狱攻击

目前做安全大模型或者说做大模型安全,基本都会有必要的两步,分别是对齐以及红队。 因为随着大模型在各种应用场景中的广泛使用,越来越多的人开始担忧这些模型可能被滥用,尤其是在传播有害或不道德内容方面。由于这些模型的开放性和广泛的使用群体,它们的潜在风险也变得更加显著。开放源码的语言模型尤其令人担忧,因为其代码和训练数据是公开的,任何人都可以访问、修改甚至恶意利用

  • 0
  • 0
  • elwood1916
  • 发布于 2025-04-07 10:00:18
  • 阅读 ( 22878 )

Windows Wi-Fi 驱动程序 RCE 漏洞 - CVE-2024-30078

在6月的“补丁星期二”期间,微软发布了针对CVE-2024-30078的修复程序。这个漏洞的严重性被标记为“重要”,影响被设置为“远程代码执行 (RCE)”。 阅读了微软的公告后,我们对这个漏洞产生了兴趣。未经身份验证的攻击者似乎可以通过向相邻系统发送恶意数据包来实现远程代码执行。尽管攻击者必须在目标系统附近才能发送和接收无线电传输以利用这个漏洞,但无线RCE听起来太吸引人了,不容忽视。

  • 1
  • 0
  • csallin
  • 发布于 2024-10-12 09:00:02
  • 阅读 ( 22821 )

ognl+cc 依赖绕过沙箱

ognl+cc 依赖绕过沙箱 前言 今天晚上稍微看了一下 Struct2 攻防,然后无意间通过链接跳转,跳转,再跳转,翻到了一位外国老哥的文章,绕过可谓是淋漓尽致,整激动了,感觉能在如此沙箱下绕过,...

c++异常处理-漏洞利用

参考 https://xz.aliyun.com/t/12967?time__1311=mqmhqIx%2BODkKDsD7G30%3D3DtQp%2BnYFeD&amp;amp;alichlgref=https%3A%2F%2Fwww.google.com.hk%2F#toc-4 https://xz.aliyun.com/t/12994?time__...

  • 0
  • 0
  • 麦当当
  • 发布于 2024-10-31 10:00:00
  • 阅读 ( 22243 )