0推荐

29415浏览

UI for Apache Kafka 两个远程代码执行漏洞分析

UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞，第一个漏洞可执行任意的 Groovy 脚本，第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用，从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。

• 0
• Stree 发布于 2024-07-02 10:09

0推荐

32226浏览

漏洞挖掘之再探某园区系统

上次提到还有一处可能存在任意用户登录的点，最近没什么研究就写一下，顺便看看还有其他漏洞不

• 0
• 中铁13层打工人 发布于 2024-06-28 10:50

2推荐

31742浏览

记一次代码审计rce测试学习过程

nginxWebUI后台提供执行nginx相关命令的接口，由于权限校验不严谨，未严格对用户的输入过滤，导致3.4.7版本之前可远程执行任意命令。本着学习的态度进一步了解该工具存在的漏洞并进行复现与分析

• 0
• 中铁13层打工人 发布于 2024-06-27 09:00

3推荐

2484浏览

【两万字原创长文】零基础入门Fastjson系列漏洞（提高篇1）

现在距离这篇文章的写作时间已经过去整整半年，该写写他的提高篇了。基础篇发布后，很多师傅在朋友圈发表了留言，有不少师傅提出了宝贵而真挚的建议，也有师傅（@Y1ngSec、@lenihaoa）指出我文章的不足，我在此再次表示诚挚的感谢。

• 3
• W01fh4cker 发布于 2024-06-26 09:00

0推荐

1816浏览

利用few-shot方法越狱大模型

之前在社区发的几篇稿子都是利用一些优化方法来越狱大模型，今天我们来看看如何利用简单的few-shot示例来越狱大模型。

• 0
• elwood1916 发布于 2024-06-24 10:00

5推荐

2497浏览

完全零基础入门Fastjson系列漏洞（基础篇）

本文作为Java安全亲妈级零基础教程的第一篇Fastjson漏洞的基础篇，从前置知识开始讲起，然后过渡到漏洞的复现和代码的分析，本文除去代码一共近18000字，配图108张，配图足够详细清楚，跟着复现分析基本可以搞明白这些漏洞是怎么一回事。

• 10
• W01fh4cker 发布于 2024-06-21 09:44

0推荐

34903浏览

某安防管理平台一次远程命令执行漏洞分析

通过某些渠道拿到一些漏洞情报，直接打开idea完整的跟一下给他卷出来，简单的讲述一下整个分析的过程以及漏洞触发的流程

• 0
• zhizhuo 发布于 2024-06-20 10:00

2推荐

35909浏览

cve-2024-26229 漏洞分析

本文针对Windows中的内核漏洞cve-2024-26229 进行分析 并且简单介绍其中的利用技巧

• 0
• l1nk 发布于 2024-06-17 15:24

4推荐

31550浏览

磕磕绊绊的sql注入漏洞挖掘

记一次磕磕绊绊的sql注入漏洞挖掘

• 5
• 中铁13层打工人 发布于 2024-06-17 09:00

1推荐

30872浏览

Apache OFBiz 最新Grovvy代码执行分析（CVE-2024-36104）

这个月爆出了CVE-2024-36104这个漏洞，实际上CVE-2024-32113和新爆出的CVE-2024-36104应该都是基于webtools/control/ProgramExport这个接口所产生的漏洞，该接口用于后台执行groovy代码，攻击者可以通过恶意的groovy代码实现任意命令执行

• 0
• kakakakaxi 发布于 2024-06-14 10:51

1推荐

30814浏览

记一次rce漏洞的代码分析

前几日在浏览github项目时，发现之前审计过的一个cms更新了，从日志中看到修复了一个安全漏洞，并且源码是开源的，所以根据版本对比找到修补的地方，进而发现一个命令执行的漏洞

• 1
• 中铁13层打工人 发布于 2024-06-14 09:40

0推荐

27801浏览

恶意人工智能模型的风险：Wiz Research 发现人工智能即服务提供商 Replicate 存在严重漏洞

Wiz Research 发现了可能导致数百万个私人人工智能模型和应用程序泄露的关键漏洞。

• 0
• csallin 发布于 2024-06-13 10:00

0推荐

1923浏览

模糊测试大模型

这次我们要分析与复现的工作，是运用了软件安全中的模糊测试的思想，对大模型的输入做模糊测试，试图找到一种特定的输入，而这种可以让模型越狱。

• 0
• elwood1916 发布于 2024-06-07 11:28

5推荐

3102浏览

通过代码审计某友获取CNVD高危证书

之前跟朋友聊到这个用友系统，说是存在很多漏洞，他审计了几个反序列漏洞的，也都发证书了。 自己也定了一个目标，今年搞几张高危证书，简单讲一下通过代码审计获取高危证书过程。

• 3
• webqs 发布于 2024-06-07 11:16

0推荐

1821浏览

基于自动化生成后缀越狱大模型

我们这篇文章将来分析并复现大模型越狱的经典工作，它从去年年底发出来到现在，已经被引用了300多次，这在AI安全领域很不常见，而且这个工作提出的攻击方法、测试方法都启发了很多后续的研究。

• 0
• elwood1916 发布于 2024-06-04 10:00