RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

LLM 时代下的 SAST :Corgea 方案解读

本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。

  • 1
  • 1
  • wh4am1
  • 发布于 2025-05-20 09:00:00
  • 阅读 ( 4200 )

RAG架构大揭秘:三种方式让AI回答更精准,更懂你!

在人工智能飞速发展的今天,我们已经习惯了与各种智能系统打交道,从聊天机器人到智能搜索引擎,它们似乎无处不在。但你有没有想过,这些系统是如何真正理解我们的需求,并给出准确回答的呢?今天,就让我们一起深入探索一下前沿的RAG(Retrieval-Augmented Generation,检索增强生成)技术,看看它如何让AI变得更“聪明”。

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-04-16 09:47:06
  • 阅读 ( 4200 )

【补天白帽黑客城市沙龙-西安站】c3p0新链探索—深入挖掘数据库连接池的安全隐患

演讲议题:c3p0新链探索—深入挖掘数据库连接池的安全隐患

【补天白帽黑客城市沙龙-西安站】深度解析EDR和用特定手法将它绕过

演讲议题:深度解析EDR和用特定手法将它绕过

SkidMap复杂挖矿新变种排查

本次应急响应遇到入行以来排查过的最复杂挖矿——SkidMap。直接击穿我脆弱的知识体系,前后搞了很久才定性并清理,多亏网上前人公开的分析文章才让我能一步步溯源。故将排查内容整理出来,成为下一个前人供同行继续前进。

当XSS遇上CSP与mXSS:绕过技巧与底层逻辑

在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。

  • 2
  • 3
  • 梦洛
  • 发布于 2025-09-09 10:03:29
  • 阅读 ( 4126 )

揭秘AI自动化渗透背后的迷雾

今年是Agent的主旋律,随着近期Blackhat DEFCON 以及各大赛事 会议的开展,AI与安全的话题不断碰撞,在这其中,AI自动化漏洞挖掘/渗透?AI是否能代替人类安全工作人员?或安全怎么才能不被AI代替? 一直是热门的话题 本文将以AI赋能安全方面,至少在明面上来说,目前产品工程与经营都比较完善的XBOW来进行分析 一同观看目前AI for安全的前沿在那一步?

  • 3
  • 1
  • 洺熙
  • 发布于 2025-10-22 09:46:28
  • 阅读 ( 4124 )

破译之眼:AI重构前端渗透对抗新范式

利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等

大模型应用提示词重构攻击

前言 用大模型LLM做安全业务的师傅们一定知道,提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器,其输出严格依赖于输入上下文。在无监督预训练之后,这...

  • 0
  • 1
  • elwood1916
  • 发布于 2025-06-03 10:00:02
  • 阅读 ( 4076 )

CSS安全:不需要XSS也可以得到你的token!

之前我们看到了用HTML进行dom clobbering攻击,那么这次,我们来利用CSS进行Inject吧!

  • 4
  • 3
  • 梦洛
  • 发布于 2025-09-22 09:48:29
  • 阅读 ( 4072 )

基于影子栈的大模型系统防御技术

在传统系统安全中有一个典型的技术—影子栈(shadow stacks),它可以防御内存溢出攻击。那么类似于影子栈创建一个影子内存空间,如果可以正常栈中建立与目标LLM实例(LLMtarget)并行的影子LLM防御实例(LLMdefense),那理论上就是可以实现防御的

  • 0
  • 0
  • elwood1916
  • 发布于 2025-05-09 09:40:07
  • 阅读 ( 4010 )

【补天白帽黑客城市沙龙-西安站】AIGC安全实践 –– AI Red Teaming

演讲议题:AIGC安全实践 –– AI Red Teaming

LLM安全基础与各厂商安全策略设计

LLM安全基础 在深入探讨大语言模型(LLM)的安全风险与防护策略之前,建立一个清晰、坚实的基础认知至关重要。这不仅是为了确保后续讨论的有效性,更是因为对核心术语、基本原则及其内在逻辑的...

  • 1
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:51
  • 阅读 ( 3918 )

手把手拆解:小程序/Web端加密鉴权绕过案例全复现

本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态调试、JS逆向与脚本复现,精准定位加密逻辑、还原签名算法,并最终实现越权访问、信息遍历与账号接管

  • 17
  • 9
  • Werqy3
  • 发布于 2025-12-02 10:00:01
  • 阅读 ( 3912 )

记一次登录框0-1渗透突破

记录一次公司渗透项目0-1 突破登录框案例,操作简单但思路足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述

Windows系统调用免杀的过去和未来

本文将介绍Windows系统调用在免杀对抗中需要解决的问题以及各个免杀的系统调用项目是如何解决这些问题的,通过本文的学习能让大家更加深入地了解Windows系统调用的过程并了解运用系统调用去规避AV/EDR的检测的一些技巧。

  • 3
  • 3
  • r0leG3n7
  • 发布于 2025-09-05 09:00:00
  • 阅读 ( 3899 )

实战Weevely管理工具免杀马研究即生成另类免杀马

生成另类免杀马

  • 3
  • 1
  • An0ma1
  • 发布于 2025-05-27 09:47:22
  • 阅读 ( 3868 )

暗藏玄机,AsyncRat通过svg多阶段钓鱼分析

攻击者通过伪装成司法部门,进行钓鱼攻击。

  • 0
  • 0
  • Aris
  • 发布于 2025-05-30 09:00:00
  • 阅读 ( 3836 )

记一次组合拳之SPEL

感觉整个渗透过程特别有意思,从扫描到 heapdump 泄露,到得敏感信息的泄露,再到观察请求包,思考参数表达的意思,为什么是这样的,从而发现隐藏的表达式注入点,到 getshell

【补天白帽黑客城市沙龙-杭州站】如何训练AI帮我调漏洞

本议题将探讨如何结合大模型与MCP技术,实现对程序的静态分析、动态调试。基于这些技术,可以让AI参与漏洞研究,提升漏洞挖掘效率,并配合实际案例,展示AI在漏洞方面的工作能力。