CorCTF 2024 Rev DigestMe
本题为一个CorCTF中的digestme题目的wp,这是一个自制的特殊VM逆向,整个逆向过程一波三折,最后还需要用到Cuda来完成最后的收尾,也还算有趣
- 0
- 0
- l1nk
- 发布于 2024-08-16 09:00:02
- 阅读 ( 4355 )
l1nk
越狱文生图大模型
本到图像模型面临的一个实际伦理问题是,它们可能生成敏感的、不适合工作的(NSFW)图像。NSFW是"Not Safe For Work"的缩写,意为"不适合在工作场所浏览
- 0
- 0
- elwood1916
- 发布于 2024-08-14 09:30:21
- 阅读 ( 6121 )
AI风控之伪造文本检测
AIGC技术可能导致大量低质量、重复性和垃圾内容的产生,这些内容可能会淹没真正有价值的信息,影响用户的体验,并可能导致互联网整体的信任度下降。例如,一些AIGC平台可以根据用户输入的关键词或简介,自动生成小说、诗歌、歌词等文学作品,而这些作品很可能是对已有作品的抄袭或改编。 为此,在风控场景下也很多必要检测AI伪造文本。在本文中将分享一种有效的技术,用魔法打败魔法,我们用AI来检测AI。
- 0
- 0
- elwood1916
- 发布于 2024-08-05 09:35:06
- 阅读 ( 5040 )
奇安信攻防社区
Confluence OGNL表达式注入命令执行漏洞(CVE-2023-22527)
Confluence OGNL表达式注入命令执行漏洞(CVE-2023-22527) Atlassian Confluence是企业广泛使用的wiki系统。 在Confluence 8.0到8.5.3版本之间,存在一处由于任意velocity模板被调用导致的OGNL...
- 0
- 0
- 带头大哥
- 发布于
- 阅读 ( 2811 )
Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515)
Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515) Atlassian Confluence是企业广泛使用的wiki系统。 2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性...
- 0
- 0
- 带头大哥
- 发布于
- 阅读 ( 2597 )
Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)
Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246) Apache RocketMQ是一个分布式消息平台。 在其5.1.0版本及以前存在一处命令执行漏洞,攻击者通过向其更新配置相关的功能发送指令即可更新任...
- 0
- 0
- 带头大哥
- 发布于
- 阅读 ( 2852 )
Jenkins CLI 接口任意文件读取漏洞(CVE-2024-23897)
Jenkins CLI 接口任意文件读取漏洞(CVE-2024-23897) Jenkins是一个开源的自动化服务器。 Jenkins使用args4j来解析命令行输入,并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中...
- 0
- 0
- 带头大哥
- 发布于
- 阅读 ( 2659 )
Weblogic未授权远程代码执行漏洞 (CVE-2023-21839)
Weblogic未授权远程代码执行漏洞 (CVE-2023-21839) Oracle WebLogic Server是业界领先的应用程序服务器,用于使用Java EE标准构建企业应用程序,并以低拥有成本将其部署在可靠、可扩展的运行时...
- 0
- 0
- 带头大哥
- 发布于
- 阅读 ( 2692 )
Adobe Commerce 中的严重漏洞 (CVE-2024-34102) 赏金$9000
偶尔,我会参与一些漏洞奖励项目。选择目标时,我通常会考虑其流行度。我曾发现一个名为Magento的热门目标。后来得知,它是Adobe公司的产品。当相关漏洞被修复后,我对其受到的广泛关注感到惊讶,并偶然读到了一篇关于这个话题的[文章](https://sansec.io/research/cosmicsting)。这两个漏洞,CVE-2024-34102和CVE-2024-2961,被合称为CosmicSting。
- 1
- 0
- csallin
- 发布于 2024-07-11 10:00:02
- 阅读 ( 36405 )
csallin
大模型安全:平滑方法防御越狱攻击
我们在本次文章中学习一种平滑防御方法。 这个方法基于一个直觉,即,对抗性生成的提示对字符级变化非常敏感,所以在防御时可以首先随机扰动给定输入提示的多个副本,然后聚合相应的预测以检测对抗性输入。
- 0
- 0
- elwood1916
- 发布于 2024-07-10 10:15:38
- 阅读 ( 6004 )
UI for Apache Kafka 两个远程代码执行漏洞分析
UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞,第一个漏洞可执行任意的 Groovy 脚本,第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用,从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。
- 0
- 0
- Stree
- 发布于 2024-07-02 10:09:14
- 阅读 ( 37451 )
Stree
CVE-2024-25065 分析:Apache OFBiz 身份验证绕过
CVE-2024-25065 是一个存在于 Apache OFBiz 在版本 18.12.12 之前的漏洞。这是一种路径遍历漏洞,允许通过 hasBasePermission()方法中的 contextPath 变量进行身份验证绕过。
- 0
- 0
- csallin
- 发布于 2024-07-09 10:00:01
- 阅读 ( 37027 )
新的 Diamorphine rootkit 变体在野外被发现
恶意软件中的代码重用现象非常普遍,尤其是对于那些开发难度大或难以用完全不同的代码实现的恶意软件组件。通过监控源代码和编译后的代码,我们能够有效地发现新型恶意软件并追踪野外环境中现存恶意软件的演变情况。
- 1
- 0
- csallin
- 发布于 2024-07-05 09:00:02
- 阅读 ( 7025 )
SCRIPTBLOCK Smuggling:伪装 PowerShell 安全日志并绕过 AMSI 防护,无需使用REFLECTION和PATCHING
近年来,PowerShell在安全渗透测试者、攻击模拟团队以及一定程度的网络高级持续性威胁行为者中的使用率有所下降。这背后有多种原因,但主要是由于PowerShell v5版本和AMSI(反恶意软件扫描接口)引入了PowerShell的安全日志功能。
- 0
- 0
- csallin
- 发布于 2024-07-04 09:37:28
- 阅读 ( 4970 )
AI风控之生成图像鉴伪实战
本文将会分享如何对AI生成的图像进行有效的方法。这种场景在宏大的场合,也被称之为AI鉴伪,即判断多媒体内容如何是否是由AI生成的虚假图像。
- 1
- 0
- elwood1916
- 发布于 2024-07-08 09:48:33
- 阅读 ( 5406 )
漏洞挖掘之再探某园区系统
上次提到还有一处可能存在任意用户登录的点,最近没什么研究就写一下,顺便看看还有其他漏洞不
- 1
- 0
- 中铁13层打工人
- 发布于 2024-06-28 10:50:20
- 阅读 ( 40273 )
中铁13层打工人
排版图像越狱多模态大模型
OpenAI几年前的研究发现了“文字排版攻击”。通过利用模型对文本的鲁棒阅读能力,我们会发现即使是手写文本的照片也经常能欺骗模型。那么我们是否可以用这种技术去攻击如今的多模态大模型呢?
- 1
- 0
- elwood1916
- 发布于 2024-07-19 09:00:01
- 阅读 ( 5426 )
基于安全解码防御越狱攻击
在这篇文章中,我们现在来分析并复现发表在2024年AI顶会ACL上的工作,其通过设计一种针对大型语言模型(LLMs)的安全意识解码策略,防御针对LLMs的越狱攻击。
- 0
- 0
- elwood1916
- 发布于 2024-06-14 10:00:01
- 阅读 ( 5432 )