PAC和MS14-068 在kerberos协议中,域中不同权限的用户能够访问的资源是不同的,因此微软使用PAC (Privilege Attribute Certificate,特权属性证书)用于辨...
新手向-从VNCTF2024的一道题学习QEMU Escape
[F] 说在前面本文的草稿是边打边学边写出来的,文章思路会与一个“刚打完用户态 pwn 题就去打 QEMU Escape ”的人的思路相似,在分析结束以后我又在部分比较模糊的地方加入了一些补充,因此阅...
AI安全:生成式AI原理与应用分析
术语解释:机器学习ML:使AI从数据中学习并做出决策或预测,分为监督学习 无监督学习 强化学习监督学习=小时候你妈教你数学,通过大量正确的数学试题来指导你无监督学习=你刷短视频时候经常刷美女 一定程度...
AI安全:36种AI攻击手法与五种AI安全策略
前几天看到刺总公司发起了国内第一份AI安全法律的起草议案和两会也在谈论关于AI安全的研究培养,但发现有关AI安全攻击介绍的资料实在太少,索性自己翻阅国内外各大资料进行了分析总结在此介绍一系列针对AI模...
技术分享|代码驱动在云原生生态系统的安全实践
前言云原生架构代表了一种构建和运行充分利用云计算优势的应用程序的现代方法。以其敏捷性、可扩展性和弹性著称。它深度整合了容器、微服务和无服务器功能,并依托Kubernetes等平台实现高效构建。随着云...
getshell后的信息收集(红队攻防篇章一)
免责声明:本篇文章仅用于技术教学,切勿进行非法测试,由于传播、利用本公众号无影安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责...
HW面试经验总结与分享 | 干货
前言依稀记得是22年 7、8月份参加的HW,当时是比较炎热的时候,但又夹杂一丝秋意。也是头一次去离家乡比较远的地方,多少有点忐忑……(怕被噶腰子、水土不服、吃穿用住没着落等等),但最终也是平安无事且顺...
【漏洞预警】Fortra FileCatalyst Workflow远程代码执行漏洞(CVE-2024-25153)
漏洞描述:FortraFileCatalyst是一个企业文件传输管理(MFT)解决方案,由FileCatalyst Direct、Workflow 和 Central等多个组件组成,FileCatal...
【漏洞预警】Spring Security访问控制不当漏洞(CVE-2024-22257)
漏洞描述:近日监测到SpringSecurity中修复了一个访问控制不当漏洞(CVE-2024-22257),该漏洞的CVSS评分为8.2,Spring Security多个受影响版本中,当应用程序直...
【2024 揭秘】利用wxid反微信加好友的办法
前言 很久之前发了篇文章介绍如何去获取WXID,然后WXID能做什么事情。 【简单】获取任意微信号的wxid_开头原始ID 后面发现很多人有这方面的需要,比如想找回老朋友的微信之类的,当然还有一些人想...
XSS的payload和绕过总结
XSS简介 XSS(Cross Site Scripting,跨站脚本攻击)是一类特殊的 Web 客户端脚本注入攻击手段,通常指攻击者通过“HTML 注入”篡改了网页,插入恶意的脚本,从而在用户浏览网...
工具 | Charles
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介Charles是在PC端常用的网络封包截取工具。0x01 功能说明截...
17827