全部 - 推荐的文章 - 第40页 - 奇安信攻防社区

【逻辑漏洞】-商城平台实战分享

来自风起哥的一次平平无奇的挖洞分享

6
2
风起
发布于 2021-06-05 15:42:46
阅读 ( 10130 )

关于php一句话木马的学习

# php一句话后门 ## 开发很久的可利用函数 ### eval和assert php任意代码执行的一句话后门，我们喜欢用的是传统的**eval**，php5，7通用。 ``` <?php @eval($_POST['a']) ?>...

3
2
Johnson666
发布于 2021-05-31 17:16:23
阅读 ( 10058 )

代码审计-youdiancms最新版getshell漏洞

1
2
中铁13层打工人
发布于 2021-05-14 16:00:08
阅读 ( 11870 )

【phonesploit】利用usb网络调试控制安卓设备

# 概述：当大多数安卓开启usb调试会默认开启usb网络调试，这会把你的安卓设备暴露在公网上，本文将演示如何使用Shodan扫描暴露在网络上的Adb(Android Debug Bridge)并控制安卓设备。 ## 一、...

0
2
三大八项
发布于 2021-04-27 18:43:23
阅读 ( 10201 )

记一次文件上传的曲折经历

2
2
带头大哥
发布于 2021-04-07 20:16:45
阅读 ( 11281 )

某金融官网SQL注入bypass阿里云盾

在某次对金融单位官网的渗透测试中发现存在SQL注入，存在阿里云waf，研究后成功手注绕过，并得到数据。

1
1
Yi1StaR
发布于 2026-02-04 10:00:02
阅读 ( 56 )

补齐SDLC最后一块拼图：LLM 在应用安全中的实践探索

随着DevSecOps的推进，应用安全已逐步融入SDLC各阶段，一个长期存在的问题依然突出：安全工具往往能发现问题，却难以判断其真实性、可利用性及处置优先级。这些持续消耗研发与安全团队的时间精力。近年来随着大语言模型的迅速发展，为这一困境提供了新的可能，本文结合实际应用安全建设经验，重点探讨AI在硬编码、SCA、漏洞挖掘等场景中的应用安全实践方法。

2
1
hyyrent
发布于 2026-01-21 09:00:01
阅读 ( 1774 )

【2025补天白帽黑客盛典】当AI成为自己的红队：自动化越狱样本构造方法

当大模型深度融入社会运转，其安全边界正面临前所未有的挑战越狱攻击通过精心构造的提示词，可绕过安全限制诱导模型生成有害内容。传统人工构造样本效率低下，而让AI成为自身的红队，正是破解这一困境的创新路径。本议题系统阐述四层自动化越狱样本构造体系:从基础规则化批量生成,到 AI自主创新,再到学术前沿复现与动态定制化生成。

1
1
奇安信攻防社区
发布于 2025-12-30 11:13:32
阅读 ( 1475 )

【2025补天白帽黑客盛典】木马藏在权重里：大模型攻击链的越狱、投毒、对抗样本与 ROP 链的连环戏法

本议题提出「权重寄生攻击链」核心框架以大模型权重为寄生载体，通过"入口突破一威胁潜伏一伪装掩护一终极爆发"的闭环传导，将文本越狱、模型投毒、对抗样本、OllamaROP链四类攻击串联的完整威胁链路，打破单一攻击场景的孤立认知，揭示大模型从上层语义到底层系统的全维度安全风险。

2
1
奇安信攻防社区
发布于 2025-12-30 10:55:19
阅读 ( 1168 )

AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)

1
1
mhxiang
发布于 2025-12-29 09:45:04
阅读 ( 1775 )

一文带你看懂MQTT——MQTT pwn初探

本文详细讲解了MQTT协议的基本原理，环境搭建，并以两道经典MQTT-pwn例题详细讲解了MQTT协议在通信过程中的利用

1
1
bazhuayu
发布于 2026-01-05 09:00:01
阅读 ( 3139 )

第三届“天网杯” AI赛道 writeup合集

1
1
Cain
发布于 2025-12-30 09:00:01
阅读 ( 1194 )

市面上主流的大模型服务，都已经建立一套相对成熟的安全架构,这套架构通常可以概括为三层过滤防御体系 1. 输入检测：在用户请求进入模型之前，通过黑白词库、正则表达式和语义分析，拦截掉那些意图明显的恶意问题。 2. 内生安全：模型本身经过安全对齐，通过指令微调和人类反馈强化学习（RLHF），让模型从价值观层面理解并拒绝执行有害指令。 3. 输出检测：在模型生成响应后，再次进行扫描，确保内容合规。。但攻击者依然在生成恶意内容、钓鱼邮件，甚至大规模恶意软件。

3
1
洺熙
发布于 2025-11-28 09:00:02
阅读 ( 2611 )

当配置成了炸弹：利用 LibreNMS snmpget 配置篡改实现 RCE 的完整攻击链

本文详细分析了一个基于Laravel框架的系统LibreNMS中存在的配置篡改与任意命令执行漏洞。通过路由分析，揭示了系统中SettingsController类的update方法存在的安全隐患。攻击者可以通过篡改配置文件中的snmpget键值，利用shell_exec函数执行任意系统命令。

0
1
中铁13层打工人
发布于 2025-11-10 10:00:00
阅读 ( 12196 )

揭秘AI自动化渗透背后的迷雾

今年是Agent的主旋律，随着近期Blackhat DEFCON 以及各大赛事会议的开展，AI与安全的话题不断碰撞，在这其中，AI自动化漏洞挖掘/渗透？AI是否能代替人类安全工作人员？或安全怎么才能不被AI代替? 一直是热门的话题本文将以AI赋能安全方面，至少在明面上来说，目前产品工程与经营都比较完善的XBOW来进行分析一同观看目前AI for安全的前沿在那一步？