1推荐

10浏览

+AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)

AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)

• 0
• mhxiang 发布于 1分钟前

2推荐

6521浏览

CVE-2025-8110 0day 绕过分析与复现

本文从gogs历史漏洞点入手,结合gogs源码对最新CVE-2025-8110 0day的绕过手法进行分析,结合复现过程给出CVE-2025-8110 0day的正确POC

• 1
• Eviden 发布于 2025-12-16 10:04

2推荐

5442浏览

Apache Tika XXE漏洞分析(CVE-2025-66516)

Apache Tika 的 tika-core（1.13-3.2.1 版本）、tika-pdf-module（2.0.0-3.2.1 版本）和 tika-parsers（1.13-1.28.5 版本）模块在所有平台上存在严重的 XML 外部实体注入（XXE）漏洞。攻击者可通过 PDF 文件中精心构造的 XFA 文件利用该漏洞。

• 2
• follycat 发布于 2025-12-10 09:45

0推荐

4023浏览

【病毒分析】专挑制造业下手！揭秘BEAST图形化勒索软件（Windows版）的加密逻辑与免杀手段

Beast Ransomware（别称 Monster）最早于 2022年3月 首次被发现。同年6月，一名代号为 "MNSTR" 的威胁行为者在俄语黑客论坛 "Ramp" 上正式发布了该家族的 勒索软件即服务（RaaS） 推广贴，寻找合作伙伴。

• 1
• solar专业应急响应团队 发布于 2025-12-08 10:00

1推荐

1919浏览

黑灰产从绕过到自建“无约束”的AI模型过程

市面上主流的大模型服务，都已经建立一套相对成熟的安全架构,这套架构通常可以概括为三层过滤防御体系 1. 输入检测：在用户请求进入模型之前，通过黑白词库、正则表达式和语义分析，拦截掉那些意图明显的恶意问题。 2. 内生安全：模型本身经过安全对齐，通过指令微调和人类反馈强化学习（RLHF），让模型从价值观层面理解并拒绝执行有害指令。 3. 输出检测：在模型生成响应后，再次进行扫描，确保内容合规。。但攻击者依然在生成恶意内容、钓鱼邮件，甚至大规模恶意软件。

• 3
• 洺熙 发布于 2025-11-28 09:00

0推荐

7362浏览

Neural Solution 代码执行漏洞分析

漏洞源于Intel® Neural Compressor的一个功能模块Neural Solution，前者是一个开源 Python 库，支持所有主流深度学习框架（TensorFlow、PyTorch、ONNX Runtime和 MXNet）上流行的模型压缩技术，例如量化、剪枝（稀疏性）、蒸馏和神经架构搜索。后者为前者带来了web接口服务，可以通过RESTFUL/GRPC API毫不费力地提交优化任务。

• 2
• 中铁13层打工人 发布于 2025-11-17 10:00

1推荐

7925浏览

当配置成了炸弹：利用 LibreNMS snmpget 配置篡改实现 RCE 的完整攻击链

本文详细分析了一个基于Laravel框架的系统LibreNMS中存在的配置篡改与任意命令执行漏洞。通过路由分析，揭示了系统中SettingsController类的update方法存在的安全隐患。攻击者可以通过篡改配置文件中的snmpget键值，利用shell_exec函数执行任意系统命令。

• 0
• 中铁13层打工人 发布于 2025-11-10 10:00

2推荐

7970浏览

Calibre代码审计集合

Calibre 是一款跨平台的免费开源电子书软件套件。Calibre 支持将现有电子书组织到虚拟图书馆中，显示、编辑、创建和转换电子书，以及将电子书与各种电子阅读器同步。支持编辑 EPUB 和 AZW3 格式的书籍。本文介绍了Calibre近期披露的3个CVE漏洞。

• 1
• 中铁13层打工人 发布于 2025-11-07 10:06

0推荐

8055浏览

某ai系统反序列化漏洞分析CVE-2024-11039

`gpt_academic` 是一个开源项目，旨在为 GPT、GLM 等大型语言模型（LLM）提供实用化的交互接口，特别优化论文阅读、润色和写作体验。在3.83版本中，由于过滤不严导致一处存在反序列化漏洞，利用此漏洞可以造成任意命令执行。

• 0
• 中铁13层打工人 发布于 2025-11-04 14:25

0推荐

2030浏览

DeepTective: 基于混合图神经网络的自动化漏洞挖掘框架

PHP在Web应用中的普遍漏洞以及开发者、安全公司和白帽黑客为解决这些问题所做的努力。传统的静态、流和污点分析方法在性能上存在局限性，数据挖掘方法常受到误报/漏报的困扰，而近期基于深度学习的模型（主要是基于LSTM）并不天生适合程序语义等图结构数据。DeepTective是一种基于深度学习的PHP源代码漏洞检测方法，其核心创新在于采用混合架构，结合门控循环单元（GRU）处理代码令牌的线性序列（语法信息），以及图卷积网络（GCN）处理控制流图（CFG）（语义和上下文信息）

• 0
• Bear001 发布于 2025-10-23 09:47

1推荐

11726浏览

高版本jdk下的spring通杀链

jsjcw师傅提出的一条链子。只给了一个payload，然后这里来分析一下过程。

• 2
• fupanc 发布于 2025-10-10 09:00

1推荐

13483浏览

漏洞挖掘从黑盒到白盒-下篇

本文主要讲解如何根据线索对二进制文件进行漏洞审计查找

• 1
• vlan911 发布于 2025-09-28 10:00

0推荐

13310浏览

漏洞挖掘从黑盒到白盒-上篇

本文讲解针对某个网络设备的漏洞挖掘，如何从黑盒测试到权限获取，从哪些角度对二进制文件进行分析获取更大的权限

• 1
• vlan911 发布于 2025-09-28 09:00

1推荐

2815浏览

Risen 勒索软件样本逆向分析

Risen 勒索软件是一种加密型恶意软件，它侵入受害者系统后，会加密并重命名文件（通常在原扩展名后添加电子邮件地址与用户 ID，如 “.Default@firemail.de].E86EQNTPTT”），同时在桌面和登录前屏幕显示勒索信息，然后留下两个勒索信文件（“Risen_Note.txt” 和 “Risen_Guide.hta”），要求受害者联系攻击者（通过提供的邮箱地址）并在三天内合作，否则威胁泄露或出售网络中的数据。

• 1
• xiaoyu007 发布于 2025-09-23 09:42

3推荐

3867浏览

CSS安全：不需要XSS也可以得到你的token！

之前我们看到了用HTML进行dom clobbering攻击，那么这次，我们来利用CSS进行Inject吧！

• 3
• 梦洛 发布于 2025-09-22 09:48