安全文章 - 第 55 | CN-SEC 中文网

安全文章

Src高危实战记录

前段时间朋友发了一个测试平台，本着试试就试试的原则，开始了本次测试。实战经过因为保密原因,会打上厚厚的码,大家见谅,通过OneForAll收集一下,前端没啥漏洞,可能是我太菜了,直接在后端进行测试弱...

04月02日24 views评论

阅读全文

人工智能安全

对DogsVsCats例子的调优模型训练过程（二）

《对DogsVsCats例子的调优模型训练过程》（一）文章中，我们对DogsVsCats0.py进行了训练调优，猫狗的识别准确率从84.5%提升到了93.84%，提升幅度很大。但有一个问题，DogsV...

04月02日12 views评论

阅读全文

安全文章

Sitecore几年前的洞CVE-2019-9874：反序列化实现的未经认证的 RCE（CVSS 9.8）

概述Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁，最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。CV...

04月02日11 views评论

阅读全文

安全百科

RCE漏洞原理及危害、相关危险函数

首先先了解什么是RCE漏洞(Remote Code|Command Execute)：由于程序中预留了执行代码或者命令的接口，并且提供了给用户使用的界面，导致被黑客利用，控制服务器。漏洞原理：代码执...

04月02日22 views评论

阅读全文

安全文章

BoardLight（难度偏低，可以盲打)

Policy:政策，策略立足点脚本：CVE-2023-30253 垂直提权脚本CVE-2022-37706一、全面外网信息收集通过ffuf爆破子域名爆破出crm.board.htb登录网址搜索...

04月02日11 views评论

阅读全文

安全文章

CozyHosting（难）(这个靶机必须要懂)

CozyHosting（难）(这个靶机必须要懂)Cozy：舒适的或温馨的遇到网站第一步想到，哪里可以与服务器交互要知道网站背后的服务器，和框架，他们都有啥特征，有啥功能springbootSpring...

04月02日5 views评论

阅读全文

安全文章

Editorial

与SSRF的过招editorial：社论，社评preview：预览一、寻找漏洞SSRF点击preview能抓包的原理### 1. **前端交互**- **事件监听**: 在网页中，按钮（如“Previ...

04月02日5 views评论

阅读全文

供应链安全

Telegram 钓鱼事件分析：鱼叉式攻击链路解析

文章阅读时间为10~15分钟，本文基于一次真实的 Telegram 钓鱼案例，从事件背景、短信与页面异常现象入手，逐步深入到技术分析环节，最终构建较为完整的攻击链与风险评估报告。作为一名从事道德黑客与...

04月02日45 views评论

阅读全文

安全百科

Top 10 漏洞

OWASP Top 10 漏洞的本质是：开发者偷懒，黑客笑开颜。防御核心：不信任任何用户输入 + 最小权限原则。 1. SQL注入（SQL Injection）段子： HR：你叫什么名字？程序员：...

04月02日14 views评论

阅读全文

供应链安全

供应链攻击防御：所有安全框架都存在的三大盲点

近期发表在Cornell University的arXiv网站上的一项研究揭示了令人担忧的事实：即使实施了市场上最全面的安全框架，企业仍然难以抵御SolarWinds、log4j和XZ Utils等重...

04月02日6 views评论

阅读全文

人工智能安全

聊热点｜为何AI系统比以往任何时候都更需要红队测试、微软安全如何做AI Agent……

01 行业动态为何AI系统比以往任何时候都更需要红队测试AI系统正逐渐成为我们生活的重要组成部分，但它们并不完美。红队测试有助于发现AI系统中的弱点，使其更安全、更可靠。随着技术的不断发展，进行全面测...

04月02日13 views评论

阅读全文

人工智能安全

DeepseekScanner deepseek+python实现代码审计实战

一、功能概述DeepseekScanner实现了扫描源代码项目中的所有代码文件发送给deepseek进行安全审计的功能。具体细节包括扫描所有子目录中的代码文件，然后依次将代码文件切片发送到deepse...

04月02日7 views评论

阅读全文

Src高危实战记录

对DogsVsCats例子的调优模型训练过程（二）

Sitecore几年前的洞CVE-2019-9874：反序列化实现的未经认证的 RCE（CVSS 9.8）

RCE漏洞原理及危害、相关危险函数

BoardLight（难度偏低，可以盲打)

CozyHosting（难）(这个靶机必须要懂)

Editorial

Telegram 钓鱼事件分析：鱼叉式攻击链路解析

Top 10 漏洞

供应链攻击防御：所有安全框架都存在的三大盲点

聊热点｜为何AI系统比以往任何时候都更需要红队测试、微软安全如何做AI Agent……

DeepseekScanner deepseek+python实现代码审计实战

在线咨询

微信