nbcio-boot代码审计之JS注入攻守道
一、项目地址 https://gitee.com/nbacheng/nbcio-boot.git 默认账号密码为:admin/123456 二、漏洞简介 该系统存在一个JavaScript表达式注入漏洞,本人此前公开披露过此漏洞,于是该系统进行了...
- 3
- 1
- fibuleX
- 发布于 2025-02-07 10:00:00
- 阅读 ( 4129 )
fibuleX
记一次真实的LKM rootkit 与挖矿病毒的结合应急案例
本次文章主要展示挖矿病毒与LKM rootkit的排查发现
- 3
- 3
- vlan911
- 发布于 2025-08-25 10:07:46
- 阅读 ( 4128 )
vlan911
实战-SRC从入门到精通超详细分析
前言 最近也是在学挖src,也准备分析一下自己的挖掘过程思路。在平时的挖掘src过程中,百分之99都是遇见的是登录框,一般思路都是测弱口令啊,登录框测sql啊,熊猫头识别接口拼接测试未授权啊,...
- 14
- 16
- Werqy3
- 发布于 2025-10-14 09:00:02
- 阅读 ( 4110 )
大模型投毒-训练、微调、供应链与RAG解析
人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性
- 1
- 1
- 洺熙
- 发布于 2025-09-04 09:00:02
- 阅读 ( 4089 )
基于强化学习生成恶意攻击xss
本文提出了一种基于DQN强化学习的XSS载荷自动生成方法,通过神经网络替代Q表格,结合经验回放和目标网络优化训练。系统包含特征提取(257维向量)、WAF检测(正则规则)和免杀变形(6种字符级操作)三大模块,在Gym框架下实现智能体与WAF的对抗训练。实验表明,经过100轮训练后,智能体可生成有效绕过WAF的XSS载荷,为AI驱动的Web安全测试提供了新思路。
- 3
- 2
- 1gniT42e
- 发布于 2025-05-21 09:00:00
- 阅读 ( 4007 )
记一次Android 恶意软件逆向及Frida动态分析
本文记录了一次Android 恶意软件逆向及Frida动态分析的实战过程,包括脱壳、恶意软件代码逆向分析、frida破解加密、绕过frida检测等技术细节,详细分析了Android 恶意软件的攻击链路。
- 3
- 1
- xiaoyu007
- 发布于 2025-09-24 10:00:00
- 阅读 ( 3985 )
RAG安全攻略:揭秘检索增强生成的风险与防护之道
在人工智能(AI)的浪潮中,Retrieval-Augmented Generation(RAG,检索增强生成)无疑是一颗耀眼的新星。它让AI系统不再局限于训练时的“旧知识”,而是能从海量外部数据中实时检索相关信息,生...
- 0
- 0
- Halo咯咯
- 发布于 2025-08-11 10:00:02
- 阅读 ( 3933 )
Halo咯咯
LLM安全交叉领域与从业者技能矩阵
着大型语言模型(LLM)在商业和社会领域的广泛应用,其安全性已成为一项关键议题。本文旨在为LLM安全领域奠定基础,阐述其核心定义、原则、面临的主要威胁,并介绍相关的治理框架,以展示LLM安...
- 1
- 1
- 洺熙
- 发布于 2025-07-04 16:15:01
- 阅读 ( 3916 )
【补天白帽黑客城市沙龙-西安站】深度解析EDR和用特定手法将它绕过
演讲议题:深度解析EDR和用特定手法将它绕过
- 0
- 0
- 奇安信攻防社区
- 发布于 2025-04-01 15:46:17
- 阅读 ( 3898 )
奇安信攻防社区
LLM如何安全对齐(基础篇)
AI对齐旨在确保AI系统,其能力与行为同人类的价值观,意图及伦理规范保持一致 本文将系统性梳理AI对齐的基础原则,剖析理论与算法的挑战 1.模型固有的逆向对齐趋势 2.人类偏好非传递性导致的收敛困境 3.安全保障的系统性复杂性
- 0
- 0
- 洺熙
- 发布于 2025-08-21 09:00:03
- 阅读 ( 3887 )
RAG架构大揭秘:三种方式让AI回答更精准,更懂你!
在人工智能飞速发展的今天,我们已经习惯了与各种智能系统打交道,从聊天机器人到智能搜索引擎,它们似乎无处不在。但你有没有想过,这些系统是如何真正理解我们的需求,并给出准确回答的呢?今天,就让我们一起深入探索一下前沿的RAG(Retrieval-Augmented Generation,检索增强生成)技术,看看它如何让AI变得更“聪明”。
- 0
- 0
- Halo咯咯
- 发布于 2025-04-16 09:47:06
- 阅读 ( 3877 )
LLM 时代下的 SAST :Corgea 方案解读
本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。
- 1
- 1
- wh4am1
- 发布于 2025-05-20 09:00:00
- 阅读 ( 3838 )
SkidMap复杂挖矿新变种排查
本次应急响应遇到入行以来排查过的最复杂挖矿——SkidMap。直接击穿我脆弱的知识体系,前后搞了很久才定性并清理,多亏网上前人公开的分析文章才让我能一步步溯源。故将排查内容整理出来,成为下一个前人供同行继续前进。
- 5
- 4
- 沐一·林
- 发布于 2025-08-18 09:00:02
- 阅读 ( 3813 )
沐一·林
【补天白帽黑客城市沙龙-西安站】c3p0新链探索—深入挖掘数据库连接池的安全隐患
演讲议题:c3p0新链探索—深入挖掘数据库连接池的安全隐患
- 1
- 0
- 奇安信攻防社区
- 发布于 2025-04-01 15:46:15
- 阅读 ( 3813 )
【2024补天白帽黑客年度盛典】Windows服务进程漏洞挖掘
演讲议题:Windows服务进程漏洞挖掘
- 1
- 0
- 奇安信攻防社区
- 发布于 2024-12-25 17:39:57
- 阅读 ( 3811 )
当XSS遇上CSP与mXSS:绕过技巧与底层逻辑
在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。
- 2
- 3
- 梦洛
- 发布于 2025-09-09 10:03:29
- 阅读 ( 3802 )
梦洛
2.35版本以下堆沙盒绕过模板总结带例题
总结了2.35版本以下堆沙盒绕过的各种模板,包括2.27,2.29,2.31的原理和模板还有对应例题
- 0
- 0
- sn1w
- 发布于 2025-01-22 10:00:02
- 阅读 ( 3768 )
破译之眼:AI重构前端渗透对抗新范式
利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等
- 4
- 3
- 小惜渗透
- 发布于 2025-06-17 09:00:00
- 阅读 ( 3761 )
小惜渗透