0推荐

827浏览

浅谈AI部署场景下的web漏洞

总结了一些部署过程中出现可能的漏洞点位，并且分析了对应的攻防思路

1
7ech_N3rd 发布于 1天前

0推荐

2021浏览

面向大模型的生成-利用式越狱攻击

目前做安全大模型或者说做大模型安全，基本都会有必要的两步，分别是对齐以及红队。因为随着大模型在各种应用场景中的广泛使用，越来越多的人开始担忧这些模型可能被滥用，尤其是在传播有害或不道德内容方面。由于这些模型的开放性和广泛的使用群体，它们的潜在风险也变得更加显著。开放源码的语言模型尤其令人担忧，因为其代码和训练数据是公开的，任何人都可以访问、修改甚至恶意利用

0
elwood1916 发布于 4天前

0推荐

823浏览

Pydash set方法原型链污染漏洞分析：以Bottle框架环境变量泄露为例

NCTF遇到了一道pydash题目，似乎与SUCTF2025出的一道SU_blog都是这个知识点，遂想基于这道题分析一下链子。其实还可以结合idekctf那道题

0
梦洛发布于 2025-04-02 09:46

1推荐

6558浏览

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

前言朋友圈看到有人转发了一篇“CVE-2024-25600：WordPress Bricks Builder RCE”，感觉挺有意思，点进去看了下，可是从头到尾看得我有点迷糊，本着打破砂锅问到底的原则，本文试图以漏洞挖掘者...

0
ybdt 发布于 2025-03-26 09:35

1推荐

9369浏览

【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析

1.背景 1.1 家族介绍 Medusa家族是一种主要针对基于Windows环境的勒索软件即服务（RaaS），自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知，特别是与其专用泄露网站Medusa Blo...

0
solar专业应急响应团队发布于 2025-03-19 09:30

13推荐

10822浏览

一次奇妙的降价支付逻辑漏洞挖掘之旅

字字经典，本文以上帝视角，带你洞察整个主流支付功能背后的逻辑，之后再轻挥衣袖，实现降价支付！

4
新人小安发布于 2025-03-17 09:00

0推荐

12079浏览

一次渗透过程中的CVE-2022-45460撞洞RCE

在一次渗透中我们遇到了雄迈（XiongMai）的uc-httpd，这是一款被全球无数网络摄像机使用的轻量级Web服务器。根据Shodan的数据，大约有7万个该软件的实例在互联网上公开暴露。尽管这款软件存在严...

1
jentleTao 发布于 2025-03-12 09:00

0推荐

13099浏览

vaadin反序列化链挖掘：tabby静态分析实践

在学习前面几条链子的基础上，结合静态分析工具在前面的基础上的一些小发现，包括vaadin的新利用方式以及对tabby的检测缺陷的总结

0
leeh 发布于 2025-03-07 09:00

2推荐

1368浏览

从开发者视角解析Gin框架中的逻辑漏洞与越权问题

以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路

1
7ech_N3rd 发布于 2025-02-28 09:04

0推荐

16991浏览

某CRM代码审计之旅-多漏洞绕过与发现

某CRM的代码审计之旅

0
中铁13层打工人发布于 2025-02-26 09:57

6推荐

1779浏览

如何通过利用源 IP、IDOR 和信息泄露漏洞绕过 WAF 来发现 SQL 注入漏洞（翻译转载）

在本文中，我将通过一次对斯里兰卡当地最大的供电局网站中的实战SQL注入挖掘分享如何通过利用源IP、IDOR和信息泄露漏洞绕过WAF来发现SQL注入漏洞

2
Gus616 发布于 2025-02-21 09:00

1推荐

19796浏览

从deepseek未授权探索clickhouse命令执行

探索clickhouse利用方式

1
Unam4 发布于 2025-02-20 09:00

0推荐

1295浏览

这篇文章主要说了 JavaBeanObjectFactory 工厂类的 getobjectinstance 方法可以调用一些类的 setter 方法，但是跟踪过程中发现有一些限制，调用 setter 方法的顺序是固定的，不能够设置，因为这个原因导致 JdbcRowSetImpl 利用失败，然后需要我们的类的构造函数为 public，最后成功的是 JtaTransactionConfig，但是因为传入的 ref 属性不是 string，需要使用 BinaryRefAddr

1
nn0nkeyk1n9 发布于 2025-02-17 09:00

2推荐

21298浏览

巧用异或绕过限制导致rce

某课程系统后台RCE

0
中铁13层打工人发布于 2025-02-14 10:00

1推荐

22104浏览

突破后缀限制实现任意文件上传

之前人力系统审计文章中发现了鸡肋的上传点，本着学习的心态看看能不能扩大利用到getshell，于是就有了这篇较坎坷的文章。

2
中铁13层打工人发布于 2025-02-13 10:00