安全文章 - 第 26 | CN-SEC 中文网

安全文章

Bluenoroff（APT38）实时基础设施追踪

朝鲜威胁行为者的称谓往往有很大重叠，使归因分析变得复杂。因此，一些安全研究人员将所有朝鲜国家支持的网络行动统称为Lazarus Group，而不是追踪单个集群或子组织，例如Andariel、APT38...

06月25日21 views评论

阅读全文

供应链安全

供应链安全：Chain IQ、瑞银数据遭勒索软件攻击

瑞士采购服务提供商 Chain IQ 确认遭受网络攻击，导致客户数据被盗。这家总部位于瑞士楚格的公司表示，在一名威胁行为者在暗网上发布了据称从其系统中窃取的数据后，他们才得知了这一事件。该公司在一份事...

06月25日15 views评论

阅读全文

安全文章

n8n安全：从漏洞利用到防御

本文在原作者授权的情况下进行转载（原文地址：https://docs.theangmarcore.ru/artificial-intelligence/ai-core/n8n/n8n-security...

06月25日12 views评论

阅读全文

安全文章

hackerone之看着大佬的漏洞流口水

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。最近梅雨季和躺平最配啦，人呀，有时候就很奇怪，有着时间不想着捡捡漏洞，就喜欢看大佬的报告流哈喇子（没错，说...

06月25日23 views评论

阅读全文

安全文章

记一次另类项目测试经历||近源测绘+知名oa漏洞审计(上)

目标厂商主营线下实体店面，虽然规模不算太小，但是线上资产较少测试难度并不大，但是考究综合利用战前准备甲方主营的是线下设备，通过web测绘几乎查不到啥资产但是我们肯定要找一个入手口反向推测，既然主营的是...

06月25日13 views评论

阅读全文

从隐藏参数到账户接管

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

06月25日安全文章10 views评论

阅读全文

安全文章

Hijack Windows MareBackup 计划任务实现本地提权分析

Hijack Windows MareBackup 计划任务实现本地提权分析一、前言一个很有意思的提权以及权限维持的点：MareBackup。虽然这个任务表面看起来无害，但在某些特定条件下，低权限用户...

06月24日13 views评论

阅读全文

安全文章

详解JNDI注入攻击原理和利用方式

JNDI简介JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API，一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API，通过...

06月24日5 views评论

阅读全文

安全文章

【ViewState 指北】校验和解密数据

0x00 前言本文需要读者对 ViewState 有一定的了解。ASP.NET 的 ViewState 数据的序列化和反序列化均由 ObjectStateFormatter完成。对于签名/加密，是由多...

06月24日12 views评论

阅读全文

人工智能安全

AI安全 | 利用Agent-2-Agent协议中的代理卡来获取控制权

A2A协议中的代理卡滥用：攻击者如何通过“中间代理”攻击获取所有任务的控制权？在人工智能领域，随着模型和架构的飞速发展，安全性往往被忽视。今天，我们将探讨一种新的攻击向量[1]，它利用了Agent-2...

06月24日15 views评论

阅读全文

安全文章

【$10,000】Arc 浏览器：UXSS+本地文件窃取+任意文件写入，路径穿越直通RCE！

在 Arc 浏览器公布了其漏洞赏金计划后，国外白帽小哥便开始了他的漏洞挖掘之旅，首先他利用逆向技能查看了浏览器的二进制文件：很快便发现了一些有趣的端点：在浏览器中打开 URL：这是...

06月24日10 views评论

阅读全文

安全文章

HTB Artificial 靶场：从AI模型的RCE到NAS备份系统提权

hackthebox 的 Artificial 靶机官方定义为简单难度，实际上你需要对 tensorflow、backrest备份等有初步的了解，否则可能一头雾水，一旦有了初步的认识，加上亿点点🤏搜索...

06月24日51 views评论

阅读全文

Bluenoroff（APT38）实时基础设施追踪

供应链安全：Chain IQ、瑞银数据遭勒索软件攻击

n8n安全：从漏洞利用到防御

hackerone之看着大佬的漏洞流口水

记一次另类项目测试经历||近源测绘+知名oa漏洞审计(上)

从隐藏参数到账户接管

Hijack Windows MareBackup 计划任务实现本地提权分析

详解JNDI注入攻击原理和利用方式

【ViewState 指北】校验和解密数据

AI安全 | 利用Agent-2-Agent协议中的代理卡来获取控制权

【$10,000】Arc 浏览器：UXSS+本地文件窃取+任意文件写入，路径穿越直通RCE！

HTB Artificial 靶场：从AI模型的RCE到NAS备份系统提权

在线咨询

微信