01 Hugging Face供应链攻击事件分析事件背景近期由JFrog安全团队监控发现,Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码...
03月05日15 views评论序列化
恶意代码
AI供应链安全:Hugging Face 恶意ML模型事件分析
03月05日15 views评论序列化
恶意代码
03月05日15 views评论序列化
恶意代码
Springboot未授权之httptrace和logfile的实战利用
S声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x00...
03月05日22 views评论nacos
未授权
一次hackerone上的sqli提交记录
在某目标上触发单引号报错,发现疑似注入点:有报错回显,一般自然想到使用报错注入,而且根据回显内容判断后端数据库显然是 mssql 数据库。使用基础的报错语句尝试发现没报错,且输出了格式不对的提示,那就...
03月04日12 views评论hackerone
sqli
aiohttp路径穿越(CVE-2024-23334)复现与分析
“ 摆烂很久,发一发笔记吧”# 01 背景aiohttp 是一个基于异步IO的Python库,专门用于处理HTTP请求和响应,是Python中一个强大的异步HTTP框架,支持异步编写HTTP请求处理逻...
03月04日30 views评论cve-2024-23334
true
网络安全-CDN绕过小结
CDN原理CDN全程内容分发服务,本质上是为了给不同地区的用户提供加速访问服务,就近选取节点,但是由于他所提供服务的性质,CDN也可以用来减少服务器压力,隐藏真实ip我们想要获取到服务器的真实ip,就...
03月04日7 views评论域名
子域名
EduSRC漏洞挖掘思路技巧(细)
0x01 逻辑漏洞 挖掘逻辑漏洞,首先要明白一般可能存在逻辑漏洞的功能点 如:密码重置 登录绕过 越权操纵 伪跳转 当然,细致的Fofa搜索语句也是必须的,一般可注册的地方有可能存在逻辑漏洞. tit...
03月04日48 views评论js
逻辑漏洞
赏金猎人|针对Swagger的另类绕过
前言Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到...
03月04日8 views评论参数
文档
IT知识百科:什么是域控服务器?
来源:网络技术联盟站 你好,这里是网络技术联盟站,我是瑞哥。 在当今信息技术领域,组织和管理大量用户、计算机和资源是一项庞大的任务。为了有效地实现这一目标,域控制服务器应运而生。域控制服务器是一种关键...
03月04日11 views评论安全性
身份验证
应急响应靶机练习-web2
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任!题目前景需要:小李在某单位驻场值守,深夜12点,甲方已...
03月04日22 views评论web
webshell
“网络攻击面、暴露面、脆弱面”的区别
网络攻击面、暴露面和脆弱面是在网络安全领域中常用的概念,它们描述了网络系统面临的不同安全威胁和风险。 网络攻击面(Attack Surface):指的是一个网络系统或应用程序所暴露给潜在攻击者的攻击路...
03月04日29 views评论攻击面
网络攻击
漏洞挖掘 | 没有弱口令的挖掘思路
扫码领资料获网安教程本文由掌控安全学院 -xuejiuhan 投稿没有弱口令怎么挖?依稀记得有一个很老的思路叫做禁用js可以跳转后台,奈何学习两年半到现在从未发现一个这种漏洞。不过,虽然不能直接搞到未...
03月04日20 views评论弱口令
漏洞挖掘
渗透测试-若依框架的杀猪交易所系统管理后台
扫码领资料获网安教程前言这次是带着摸鱼的情况下简单的写一篇文章,由于我喜欢探究黑灰产业,所以偶尔机遇下找到了一个加密H币的交易所S猪盘,我记得印象是上年的时候就打过这一个同样的站,然后我是通过指纹查找...
03月04日32 views评论交易所
渗透测试
5695