这个月爆出了CVE-2024-36104这个漏洞，实际上CVE-2024-32113和新爆出的CVE-2024-36104应该都是基于webtools/control/ProgramExport这个接口所产生的漏洞，该接口用于后台执行groovy代码，攻击者可以通过恶意的groovy代码实现任意命令执行

0
kakakakaxi 发布于 2024-06-14 10:51

2推荐

33879浏览

记一次rce漏洞的代码分析

前几日在浏览github项目时，发现之前审计过的一个cms更新了，从日志中看到修复了一个安全漏洞，并且源码是开源的，所以根据版本对比找到修补的地方，进而发现一个命令执行的漏洞

1
中铁13层打工人发布于 2024-06-14 09:40

0推荐

29882浏览

恶意人工智能模型的风险：Wiz Research 发现人工智能即服务提供商 Replicate 存在严重漏洞

Wiz Research 发现了可能导致数百万个私人人工智能模型和应用程序泄露的关键漏洞。

0
csallin 发布于 2024-06-13 10:00

0推荐

4593浏览

模糊测试大模型

这次我们要分析与复现的工作，是运用了软件安全中的模糊测试的思想，对大模型的输入做模糊测试，试图找到一种特定的输入，而这种可以让模型越狱。

0
elwood1916 发布于 2024-06-07 11:28

5推荐

6066浏览

通过代码审计某友获取CNVD高危证书

之前跟朋友聊到这个用友系统，说是存在很多漏洞，他审计了几个反序列漏洞的，也都发证书了。自己也定了一个目标，今年搞几张高危证书，简单讲一下通过代码审计获取高危证书过程。

5
webqs 发布于 2024-06-07 11:16

0推荐

4160浏览

基于自动化生成后缀越狱大模型

我们这篇文章将来分析并复现大模型越狱的经典工作，它从去年年底发出来到现在，已经被引用了300多次，这在AI安全领域很不常见，而且这个工作提出的攻击方法、测试方法都启发了很多后续的研究。

0
elwood1916 发布于 2024-06-04 10:00

1推荐

31422浏览

CVE-2018-5701 System Mechanic 内核提权漏洞分析

System Mechanic工具软件被设计用来识别和处理常见和复杂的系统问题，该漏洞在其安装的amp.sys驱动中，可被利用将程序升级至SYSTEM权限。

0
10cks 发布于 2024-06-03 09:00

0推荐

5162浏览

越狱大语言模型-通过自动化生成隐蔽提示

本文将会分析并实践如何自动化生成越狱提示，攻击大语言模型

0
elwood1916 发布于 2024-05-31 10:00

记一次代码审计rce测试学习过程

【两万字原创长文】零基础入门Fastjson系列漏洞（提高篇1）

利用few-shot方法越狱大模型

完全零基础入门Fastjson系列漏洞（基础篇）

某安防管理平台一次远程命令执行漏洞分析

cve-2024-26229 漏洞分析

磕磕绊绊的sql注入漏洞挖掘

Apache OFBiz 最新Grovvy代码执行分析（CVE-2024-36104）