大模型文件的 中毒攻击与防护 人工智能的安全性问题由来已久,大模型本质上作为人工智能系统,也存在相应的安全问题。OWASP Top 10 for Large Language Model Applic...
【已发现在野利用】畅捷通 T+远程代码执行漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告近日,奇安信CERT监测到畅捷通 T+ 远程代码执行漏洞,在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接...
用友畅捷通T+任意文件上传漏洞风险提示
漏洞公告近日,安恒信息CERT监测到用友畅捷通官方于8月30日发布了安全更新补丁,修复了用友畅捷通T+任意文件上传漏洞,成功利用此漏洞的攻击者可执行任意代码,控制服务器。目前,此漏洞已被攻击者利用来进...
利用Param Miner挖掘基于缓存中毒的XSS漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:你肯定听说过缓存中毒(Cache...
Web缓存中毒-攻击示例(二)
在某些情况下,Web缓存中毒漏洞的产生是由于缓存设计中缺陷造成的。其他时候,一个特定的Web缓存实施的方式会带来意想不到的问题,从而被利用。在后面的章节中,将概述这两种情况下一些常见的例子。利用多个标...
Web缓存中毒-概念梳理
在本节中,将讨论什么是Web缓存中毒,以及哪些行为会导致Web缓存中毒的漏洞,还将看看利用这些漏洞的方法,并建议如何减少对这些漏洞的暴露。什么是Web缓存中毒?Web缓存中毒是一种比较高级的技术,攻击...
新浪微博“中毒”自动发博文 - 新浪 XSS Worm
“点了一个链接后,就自动发出多条微博。”昨晚8点到9点,不少新浪微博的用户遇见了这一情况。昨晚9点25分,新浪微博表示恶意链接已经修复,并对此“深表歉意”。 “我就是手欠,点了一个短链接之后就...