正文注:这个思路外面公众号没人公开讲过签名的作用原文始发于微信公众号(迪哥讲事):如何绕过签名校验
04月24日安全文章5 views评论如何绕过签名校验
Spring Actuator 暴露在攻防中的利用
点击蓝字 关注我们Spring Actuator暴露在攻防中的利用目前企业中,JAVA仍是主流的系统开发语言,spring框架非常普遍且常用,常见与之结合使用的有nacos、rabbitMQ、redi...
04月24日22 views评论actuator
敏感信息
关于一次dify的渗透
https://github.com/langgenius/difyai目前最近很火,刚好工作中碰到了,就记录一下吧。数据库权限入口dify的账号密码是初始化登录的时候设置的,暂时不考虑账号的弱口令。...
04月24日15 views评论dify
salt
云上LLM数据泄露风险研究系列(二):基于LLMOps平台的攻击面分析
一. 引言在上一篇系列文章《云上LLM数据泄露风险研究系列(一):基于向量数据库的攻击面分析》中,笔者对几款业内常用的向量数据库的暴露面、数据泄露风险进行了介绍,最后给出了一些针对向量数据库数据泄露...
04月24日11 views评论llm
数据泄露
【渗透测试】Dripping Blues: 1靶场渗透测试
FOCUS ON US点击蓝字.关注我们01前言1.1 下载安装下载地址:https://www.vulnhub.com/entry/dripping-blues-1,744/选择镜像文件进行下载。下...
04月24日6 views评论nmap
渗透测试
大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
大模型10大网络安全威胁及防范策略OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化,10大安全威胁如下:1、提...
04月24日14 views评论chatgpt
llm
MCP协议的威胁建模,基于MAESTRO框架
上一篇我们介绍了MAESTRO的威胁建模方法,本篇看一个MCP的场景应用。MAESTRO框架在七层上列出了威胁全集,具体到场景上,有些威胁不会产生影响,只需要考虑有影响的威胁,对威胁分析的定级,并做消...
04月24日16 views评论mcp
威胁建模
利用空字节写入漏洞攻击 Synology DiskStation
【翻译】Exploiting the Synology DiskStation with Null-byte Writes 在 Synology DS1823xs+ NAS 上实现 root 权限的远...
04月24日12 views评论payload
软件包
我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元
摘要: 漏洞赏金并不总是需要数月的侦察或复杂的零日漏洞。有时,在正确的环境中放置一个合适的有效载荷就能快速带来回报。在这篇文章中,我将带你了解我是如何通过手动测试、ChatGPT辅助的有效载荷构建...
04月24日9 views评论chatgpt
xss
【漏洞实战】 我是如何突破层层限制利用ssrf的
我是如何突破层层限制利用ssrf 1.1 关于ssrf的基础理解 ssrf漏洞也就是服务器端请求伪造,简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给其它机器。 对于ssrf的利用相信很...
04月24日8 views评论dnslog
ssrf
记一次域渗透实战:Entra SSO功能的滥用
Microsoft Entra 无缝单一登录(Seamless Single Sign-On)是微软推出的一种高级身份验证和访问管理功能。通过无缝单一登录,用户在受支持的企业网络环境中登录过一次后,无...
04月24日19 views评论azure
microsoft
NET Native AOT恶意样本分析插件
安全分析与研究专注于全球恶意软件的分析与研究前言概述前不久群里有朋友咨询笔者关于NET Native AOT恶意样本分析的问题,目前暂时没有特别有效的方法来分析这类恶意软件,如下所示:NET Nati...
04月24日9 views评论恶意软件
黑客组织
7113