安全文章 - 第 37 | CN-SEC 中文网

安全文章

通过某哔哩实现白加黑

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月09日9 views评论

阅读全文

安全文章

spring heapdump信息泄露

前言actuator如果没有做好访问控制，那么我们可以下载headdump文件，这个文件中包含了大量的敏感信息，接下来就来看看如何进行利用。通常在/env目录下，可以看到存在passwd字段，但都做了...

04月09日3 views评论

阅读全文

人工智能安全

AI编程的暗礁：大模型包幻觉引发的软件供应链安全风险

德克萨斯大学圣安东尼奥分校（UTSA）团队在2025年USENIX安全研讨会发表的研究，首次系统性揭示了大语言模型（LLM）代码生成中的"包幻觉"（Package Hallucination）威胁。通...

04月09日30 views评论

阅读全文

安全文章

业务逻辑错误导致报告所有者权限未经授权降级

“请注意，请注意，请注意”黑客们，大家好！今天，我很高兴与大家分享我在公共 HackerOne 漏洞赏金计划 (BBP)中发现的一个逻辑漏洞，该漏洞导致报告所有者权限被降级，并可能失去管理控制权！不要...

04月09日10 views评论

阅读全文

安全文章

Windows下的稀疏文件

稀疏文件是一种文件内容都是空字符，文件系统在创建文件时可以快速创建的文件。比如正常填充一个10T的硬盘，需要很长的时间，但通过稀疏文件可以快速把硬盘填满。fsutil file createnew s...

04月09日5 views评论

阅读全文

安全文章

绕过 AppLocker：当 PowerShell 和 CMD 被锁定时

概述此技术源自文章《Breaking Windows - Bypassing AppLocker When PowerShell and CMD Are Locked Down》，描述了在 Windo...

04月09日10 views评论

阅读全文

安全文章

HVV Windows【安全加固】手册

安小圈第641期HVV · Windows安全Windows系统安全加固是保障计算机环境稳定的关键步骤，需从系统配置、权限管理、漏洞防护等多维度入手。1. 账户与密码策略强制启用高强度密码策略，密码长...

04月09日8 views评论

阅读全文

安全文章

【渗透测试】Thales靶场渗透测试

FOCUS ON US点击蓝字.关注我们01前言1.1 下载安装下载地址：https://www.vulnhub.com/entry/thales-1,749/选择镜像文件进行下载。下载后解压是一个o...

04月09日7 views评论

阅读全文

安全文章

【SRC】小程序积分系统逻辑漏洞实现0元购

点击上方蓝字关注安全技术引言0元购逻辑漏洞是指攻击者通过利用应用程序（如电商、积分系统、优惠券平台等）的业务逻辑缺陷，以零成本或极低成本非法获取高价值商品、服务或权益的漏洞。这种漏洞的本质是系统未...

04月09日20 views评论

阅读全文

使用AI工具实战恶意软件解密分析

安全分析与研究专注于全球恶意软件的分析与研究前言概述现在AI技术发展越来越快，AI技术被应用到了全球各行各业当中，国内外各大安全厂商都己经推出自己的ChatGPT，笔者所在公司也在第一时间推出了自研的...

04月09日安全文章3 views评论

阅读全文

安全百科

反序列化漏洞原理剖析：从攻击到防御

点击上方蓝字关注我们在安全测试中，反序列化漏洞（Deserialization Vulnerability）因其高危害性和隐蔽性，成为近年来攻击者利用的最为频繁的漏洞类型之一，log4j2、fastj...

04月09日19 views评论

阅读全文

安全文章

【战报】HTB CPTS渗透测试专家

一、前言公众号停更了一段时间了，说说最近的CPTS考试吧，先说结果“我没有通过”，flags拿到了12/14个，因为报告（写了100多页）写得不合格导致没通过。85分截图纪念如下：二、考试过程考试过程...

04月09日11 views评论

阅读全文

通过某哔哩实现白加黑

spring heapdump信息泄露

AI编程的暗礁：大模型包幻觉引发的软件供应链安全风险

业务逻辑错误导致报告所有者权限未经授权降级

Windows下的稀疏文件

绕过 AppLocker：当 PowerShell 和 CMD 被锁定时

HVV Windows【安全加固】手册

【渗透测试】Thales靶场渗透测试

【SRC】小程序积分系统逻辑漏洞实现0元购

使用AI工具实战恶意软件解密分析

反序列化漏洞原理剖析：从攻击到防御

【战报】HTB CPTS渗透测试专家

在线咨询

微信