RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

从开发者视角解析Gin框架中的逻辑漏洞与越权问题

以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路

  • 2
  • 2
  • 7ech_N3rd
  • 发布于 2025-02-28 09:04:21
  • 阅读 ( 5162 )

多智能体系统(MAS):如何让AI团队协作解决复杂问题?

你有没有想过,世界上最复杂的问题,可能并不是靠单一的力量解决,而是通过一群智能体的协作来完成?**多智能体系统(Multi-Agent System, MAS)**正是这样一种技术框架,它允许多个独立的智能体(Agents)通过协作、思考和适应,共同完成复杂任务。

  • 0
  • 1
  • Halo咯咯
  • 发布于 2025-05-06 09:00:03
  • 阅读 ( 5154 )

大模型安全之数据投毒

数据投毒是针对模型训练阶段的攻击,通过向训练数据注入有害样本或篡改样本标签/特征,改变模型学习到的映射,从而在部署后降低模型性能或触发预设行为

  • 0
  • 0
  • 洺熙
  • 发布于 2025-08-21 10:02:08
  • 阅读 ( 5124 )

从CTF和勒索样本中学习AES加密算法逆向识别

如何IDA静态识别AES,帮助工作中有个快速定位算法的方法

【补天白帽黑客城市沙龙-西安站】巧用Chrome-CDP远程调用Debug突破JS逆向

演讲议题:巧用Chrome-CDP远程调用Debug突破JS逆向

AI 时代的 mcp 攻防探讨

模型上下文协议(Model Context Protocol, MCP)是一种用于在分布式系统中管理和共享模型上下文的协议,广泛应用于机器学习、区块链和物联网等领域。然而,随着MCP的广泛应用,其安全性问题也日益凸显。

  • 0
  • 0
  • 逍遥~
  • 发布于 2025-06-10 09:00:03
  • 阅读 ( 5054 )

绕RASP之内存马后渗透浅析

在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?

MCP安全攻防技艺(一)

在某互联网大厂工作时做了一些AI相关的安全研究工作,研究了MCP与安全的应用以及MCP本身的安全,本文为MCP应用与安全开篇,带读者深入研究MCP攻防,探讨MCP的核心机制及安全挑战。

  • 1
  • 2
  • Bear001
  • 发布于 2025-08-13 09:38:49
  • 阅读 ( 4991 )

Pydash set方法原型链污染漏洞分析:以Bottle框架环境变量泄露为例

NCTF遇到了一道pydash题目,似乎与SUCTF2025出的一道SU_blog都是这个知识点,遂想基于这道题分析一下链子。其实还可以结合idekctf那道题

  • 0
  • 0
  • 梦洛
  • 发布于 2025-04-02 09:46:42
  • 阅读 ( 4975 )

攻防演练技巧|分享最近一次攻防演练RTSP奇特之旅

师傅们在攻防演练中,可以看看这篇文章,打视频监控系统拿权限分,下面就来介绍下这个RTSP漏洞。

  • 1
  • 0
  • routing
  • 发布于 2025-06-12 09:00:00
  • 阅读 ( 4970 )

掌握Tornado隐秘漏洞:构建内存马,实现命令执行

最近老遇到需要用到 Tornado 知识点的地方,学习一波

  • 1
  • 0
  • Werqy3
  • 发布于 2025-02-18 09:31:37
  • 阅读 ( 4948 )

PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述

主要关注学术界使用SAST(Static Application Security Testing,静态应用安全测试)对PHP应用进行漏洞挖掘的一些研究,希望能够回答“在使用静态分析对PHP应用进行漏洞挖掘时,会面临哪些挑战以及对应的解决方案”。

  • 2
  • 2
  • LionTree
  • 发布于 2025-05-08 09:35:14
  • 阅读 ( 4889 )

探索SQL注入中数学函数的应用:绕过过滤、"算"出数据

探讨在渗透测试当中使用数学函数进行sql注入,以绕过某些场景下的防护限制。

  • 7
  • 4
  • xinca0Zzz
  • 发布于 2025-03-21 09:00:00
  • 阅读 ( 4853 )

基于嵌入扰动的大模型白盒越狱攻击

大模型(以下均用LLMs指代)发展迅速,但引发了大家对其潜在滥用的担忧。虽然模型开发者进行了大量安全对齐工作,以防止 LLMs 被用于有害活动,但这些努力可被多种攻击方法破解,典型的就是在社区里多篇文章中一直在强调的越狱攻击。这些攻击方法能找出安全对齐技术的漏洞,促使开发者及时修复,降低 LLMs 带来的安全风险

  • 0
  • 0
  • elwood1916
  • 发布于 2025-04-24 09:39:13
  • 阅读 ( 4838 )

从对抗到出洞:某金融APP 实战渗透与 Frida 反检测绕过(Rpc + Flask + AutoDecoder)

当抓包只剩密文、对抗又被检测,渗透是否就此停滞不前?本文跟着笔者在一次授权的金融类渗透项目中,如何使用rpc+frida+flask+autodecoder,一步步剥离算法,还原明文,最终产出漏洞。

  • 4
  • 5
  • sola
  • 发布于 2025-10-15 09:00:00
  • 阅读 ( 4813 )

FortiGate 飞塔固件自加解密逆向分析

前言:在进行IOT漏洞挖掘中,我们常常遇到固件加密问题导致在没有硬件设备时无法进行漏洞挖掘,本篇主要来进行分析固件解密的一些思路,因为作者认为在很多固件当中大部分加密都会在它固件里进行自加密、自解密,所以只要找到它的加密的位置进行逆向分析,就可以去进行解密,根据项目需求,这里分析一波飞塔解密的流程,通过这个流程更加深入的去理解这个加解密的思想,废话不多说,下面进行工作分析

  • 1
  • 0
  • Azd
  • 发布于 2025-07-23 09:00:00
  • 阅读 ( 4790 )

大模型投毒-训练、微调、供应链与RAG解析

人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性

  • 1
  • 1
  • 洺熙
  • 发布于 2025-09-04 09:00:02
  • 阅读 ( 4783 )

基于概念擦除的AIGC防侵权技术

最近的文生图模型因为卓越的图像质量和看似无限的生成能力而受到关注。最近出圈,可能是因为openai的模型可以将大家的图像转变为吉卜力风格。

  • 0
  • 0
  • elwood1916
  • 发布于 2025-05-12 10:14:50
  • 阅读 ( 4772 )

【转载】某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞

这次文章主要是开始给师傅们分享目标指定的资产如何进行信息收集以及收集到对应的资产,如何快速有效的进行一个打点操作,写的都是我自己的实战经验,欢迎师傅们来交流,有些地方写的不足,希望师傅们可以补充。

  • 21
  • 8
  • routing
  • 发布于 2025-10-20 10:02:45
  • 阅读 ( 4722 )

2025年RSA大会:10大AI安全工具,开启智能防御新时代

在刚刚过去的RSA大会上,AI安全领域迎来了井喷式的发展。从SIEM(安全信息与事件管理)、SOAR(安全编排自动化与响应)、ITDR(身份威胁检测与响应)到DSPM(数据安全态势管理)、红队测试和防...

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-06-03 09:56:30
  • 阅读 ( 4719 )