0推荐

3642浏览

Thinkphp8 反序列化链分析

Thinkphp8 反序列化调用链分析过程

1
kakakakaxi 发布于 2024-07-23 09:00

0推荐

3573浏览

排版图像越狱多模态大模型

OpenAI几年前的研究发现了“文字排版攻击”。通过利用模型对文本的鲁棒阅读能力，我们会发现即使是手写文本的照片也经常能欺骗模型。那么我们是否可以用这种技术去攻击如今的多模态大模型呢？

1
elwood1916 发布于 2024-07-19 09:00

0推荐

34646浏览

Adobe Commerce 中的严重漏洞 (CVE-2024-34102) 赏金$9000

偶尔，我会参与一些漏洞奖励项目。选择目标时，我通常会考虑其流行度。我曾发现一个名为Magento的热门目标。后来得知，它是Adobe公司的产品。当相关漏洞被修复后，我对其受到的广泛关注感到惊讶，并偶然读到了一篇关于这个话题的[文章](https://sansec.io/research/cosmicsting)。这两个漏洞，CVE-2024-34102和CVE-2024-2961，被合称为CosmicSting。

1
csallin 发布于 2024-07-11 10:00

0推荐

3623浏览

大模型安全：平滑方法防御越狱攻击

我们在本次文章中学习一种平滑防御方法。这个方法基于一个直觉，即，对抗性生成的提示对字符级变化非常敏感，所以在防御时可以首先随机扰动给定输入提示的多个副本，然后聚合相应的预测以检测对抗性输入。

0
elwood1916 发布于 2024-07-10 10:15

0推荐

34733浏览

CVE-2024-25065 分析：Apache OFBiz 身份验证绕过

CVE-2024-25065 是一个存在于 Apache OFBiz 在版本 18.12.12 之前的漏洞。这是一种路径遍历漏洞，允许通过 hasBasePermission()方法中的 contextPath 变量进行身份验证绕过。

0
csallin 发布于 2024-07-09 10:00

1推荐

38974浏览

CVE-2024-36401 GeoServer远程代码执行

GeoServer调用的GeoTools库API，在解析特性类型的属性/属性名称时，以不安全的方式将它们传递给commons-jxpath库，当解析XPath表达式时可以执行任意代码。

0
Stree 发布于 2024-07-04 10:53

5推荐

39345浏览

某人力系统的代码审计

最近看该系统漏洞公开较多，想审计练练手

5
中铁13层打工人发布于 2024-07-03 09:40

0推荐

34819浏览

UI for Apache Kafka 两个远程代码执行漏洞分析

UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞，第一个漏洞可执行任意的 Groovy 脚本，第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用，从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。

0
Stree 发布于 2024-07-02 10:09

0推荐

37806浏览

漏洞挖掘之再探某园区系统

上次提到还有一处可能存在任意用户登录的点，最近没什么研究就写一下，顺便看看还有其他漏洞不

1
中铁13层打工人发布于 2024-06-28 10:50

4推荐

35695浏览

记一次代码审计rce测试学习过程

nginxWebUI后台提供执行nginx相关命令的接口，由于权限校验不严谨，未严格对用户的输入过滤，导致3.4.7版本之前可远程执行任意命令。本着学习的态度进一步了解该工具存在的漏洞并进行复现与分析

1
中铁13层打工人发布于 2024-06-27 09:00

4推荐

5105浏览

【两万字原创长文】零基础入门Fastjson系列漏洞（提高篇1）

现在距离这篇文章的写作时间已经过去整整半年，该写写他的提高篇了。基础篇发布后，很多师傅在朋友圈发表了留言，有不少师傅提出了宝贵而真挚的建议，也有师傅（@Y1ngSec、@lenihaoa）指出我文章的不足，我在此再次表示诚挚的感谢。

6
W01fh4cker 发布于 2024-06-26 09:00

0推荐

3778浏览

利用few-shot方法越狱大模型

之前在社区发的几篇稿子都是利用一些优化方法来越狱大模型，今天我们来看看如何利用简单的few-shot示例来越狱大模型。

0
elwood1916 发布于 2024-06-24 10:00

8推荐

4902浏览

完全零基础入门Fastjson系列漏洞（基础篇）

本文作为Java安全亲妈级零基础教程的第一篇Fastjson漏洞的基础篇，从前置知识开始讲起，然后过渡到漏洞的复现和代码的分析，本文除去代码一共近18000字，配图108张，配图足够详细清楚，跟着复现分析基本可以搞明白这些漏洞是怎么一回事。

12
W01fh4cker 发布于 2024-06-21 09:44

3推荐

40773浏览

某安防管理平台一次远程命令执行漏洞分析

通过某些渠道拿到一些漏洞情报，直接打开idea完整的跟一下给他卷出来，简单的讲述一下整个分析的过程以及漏洞触发的流程

2
zhizhuo 发布于 2024-06-20 10:00

7推荐

44895浏览

cve-2024-26229 漏洞分析

本文针对Windows中的内核漏洞cve-2024-26229 进行分析并且简单介绍其中的利用技巧

2
l1nk 发布于 2024-06-17 15:24