安全文章 - 第 23 | CN-SEC 中文网

安全文章

DanaBleed：DanaBot C2 服务器内存泄漏漏洞

本文详细探讨了“DanaBleed”——一种影响DanaBot恶意软件命令与控制（C2）服务器的严重内存泄漏漏洞。该漏洞源于2022年6月DanaBot版本2380的更新，意外导致C2服务器在响应受感...

06月26日9 views评论

阅读全文

安全文章

警惕！纯 CSS 也能偷数据？这种攻击比 XSS 更隐蔽！

你以为只有 JavaScript 能搞破坏？大错特错！当黑客盯上你的网站时，一行 CSS 代码就能悄悄偷走敏感信息 —— 从 CSRF Token到页面文本，甚至 JavaScript 代码！今天就来...

06月26日7 views评论

阅读全文

安全文章

隐藏在 URL Credentials 中的 Payload：被忽视的 Web 绕过路径

本文将详细介绍当前已被主流废弃但仍可在攻击场景中利用的URL Credentials技术，将其扩展用于各种常见漏洞的绕过一、URL Credentials 原理深度解析HTTP URL 标准结构：Pl...

06月26日7 views评论

阅读全文

人工智能安全

AI安全，AI系统主要的安全威胁有哪些？

点击上方“蓝字”关注我们了解更多精彩近年来，人工智能（AI）技术飞速发展，大型语言模型、图像生成模型、自动驾驶AI等系统在各行业得到广泛应用。然而，与此同时，这些AI系统也暴露出诸多安全漏洞和技术挑战...

06月26日16 views评论

阅读全文

人工智能安全

Survey: 大语言模型安全

文章全面综述了大语言模型（LLMs）的安全性问题，探讨了其在价值偏差、对抗性攻击的鲁棒性、误用风险以及自主人工智能风险四个主要方面的潜在威胁及应对策略。此外，文章还延伸讨论了与LLM安全性相关的领域，...

06月26日24 views评论

阅读全文

安全文章

红队钓鱼免杀沙箱对抗样本分析

安全分析与研究专注于全球恶意软件的分析与研究前言概述笔者只要有空的时候就会在一些恶意软件自动化沙箱平台以及威胁情报平台上捕获分析一些可疑未检出样本，相关的自动化沙箱平台以及威胁情报平台，可以参考笔者此...

06月26日20 views评论

阅读全文

安全文章

被绕过的防线与救命的配置：ACL 在漏洞攻防中的双重角色

在现代网络安全领域，访问控制列表（ACL，Access Control Lists）作为一种基础且高效的安全机制，被广泛应用于网络设备和主机系统中，用于控制数据流和资源访问。然而，随着网络环境日益复杂...

06月26日16 views评论

阅读全文

安全文章

如何把肯德基订餐电话写到证书的签名值和公钥数据里

序上次一文精通数字证书的签名算法讨论了证书签名算法，公钥类型和证书链等。这时脑后有反骨的朋友可能会说，“既然知道结构，又知道字段的生成算法，可不可以把我的名字写到签名值上呢？或者嵌入我自己发明的公钥算...

06月26日15 views评论

阅读全文

从端口服务到Hydra密码审计实战

一、基础概念：网络服务与端口在网络世界中，一台服务器（就像一栋大楼）可以同时提供多种服务，例如网站服务、文件传输服务等。为了区分这些不同的服务，我们使用了端口（Port）的概念，它...

06月26日安全文章18 views评论

阅读全文

安全文章

绕过阿里云webshell检测?easy!

虽然webshell免杀炒冷饭这事我并不看好，因为在意义不大，ai时代成本也很低，但是我还是想拿出来水一篇因为我觉得有点意思在我对抗了十几个样本之后我发现阿里云的webshell查杀只要不出现明文的恶...

06月26日13 views评论

阅读全文

安全文章

隐身调用：动态API技术在安全测试中的攻防价值

📌 免责声明：本系列文章仅供网络安全研究人员在合法授权下学习与研究使用，严禁用于任何非法目的。违者后果自负。一、什么是动态API在攻防演练C2免杀领域中，“动态API” 主要指的是绕过静态检测的一种技...

06月26日16 views评论

阅读全文

安全文章

DeFiVulnLabs靶场全系列详解（二十八）许可函数绕过（Phantom方法，Permit方法）

01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的，不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习，基于此内容采取的任何行动均由...

06月26日12 views评论

阅读全文

DanaBleed：DanaBot C2 服务器内存泄漏漏洞

警惕！纯 CSS 也能偷数据？这种攻击比 XSS 更隐蔽！

隐藏在 URL Credentials 中的 Payload：被忽视的 Web 绕过路径

AI安全，AI系统主要的安全威胁有哪些？

Survey: 大语言模型安全

红队钓鱼免杀沙箱对抗样本分析

被绕过的防线与救命的配置：ACL 在漏洞攻防中的双重角色

如何把肯德基订餐电话写到证书的签名值和公钥数据里

从端口服务到Hydra密码审计实战

绕过阿里云webshell检测?easy!

隐身调用：动态API技术在安全测试中的攻防价值

DeFiVulnLabs靶场全系列详解（二十八）许可函数绕过（Phantom方法，Permit方法）

在线咨询

微信