作者:dawu@知道创宇404实验室时间:2025年2月28日 1. 前言参考资料伴随着年后 DeepSeek R1 模型的火热,号称能运行 DeepSeek R1 “满血版” 的 Ktransfor...
Web LLM 攻击
01定义Web LLM(Large Language Model)攻击指针对部署在Web端的AI大语言模型的攻击行为。攻击者通过恶意提示词注入、训练数据窃取、模型逆向工程等手段,操控AI输出敏感信息或...
30个必知必会的JS渗透测试技巧
JavaScript作为现代Web应用的核心语言,既是开发利器,也是攻击者的重点突破方向。本文从渗透测试工程师视角,系统性梳理30个关键JS安全攻防点,涵盖漏洞挖掘、防御绕过、信息泄露等实战场景。全文...
结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践
前言至于为什么要写这篇文章呢?说来也很巧,在比赛时,有一个靶机直接把我们零封了,全场没有一个人能getshell。该靶机采用的是一个开源框架,而且网上并没有任何公开可用的漏洞信息,且由于比赛是在局域网...
常见WEB漏洞—SQL 注入
SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,黑客通过在输入字段中插入恶意 SQL 代码,操纵数据库查询,从而窃取、篡改或删除数据,甚至控制整个数据库系统。以下是 ...
企业安全建设指南 | 安全架构(一)
编者按:《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。 本书系统化介绍金融行业中企业信息安全的...
揭秘渗透测试:网络安全的攻防演练
免责声明:该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用,使用时应当遵守国家法律,做一位合格的白帽专家。使用本工具的用户需要自行承担任何风险和不确定因素,如有人利用工具做任何后果均由使用者承...
什么是命令注入漏洞?
什么是命令注入漏洞?命令注入漏洞如何让攻击者接管机器,以及如何防止这些漏洞。命令注入漏洞可能是应用程序中可能发生的最危险的漏洞之一。当应用程序允许用户输入与系统命令混淆时,就会发生命令注入漏洞或操作系...
红队-shell编程基础(四)
声明通过学习 泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频,做出的文章如涉及侵权马上删除文章笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则...
AI Agents越来越火,它可能存在一个严重安全隐患
关注我们带你读懂网络安全未来AI代理和老爷爷的共同点:都可能被网络钓鱼诈骗;如果AI代理真正实现大规模市场吸引力,它们可能会为身份管理市场带来棘手难题。前情回顾·新技术旧安全一句话让大模型聊天助手主动...
虹安Heimdall-DLP数据泄漏防护系统pushSetup接口文件存在SQL延时注入漏洞
漏洞介绍 在当今复杂多变的环境中,虹安Heimdall-DLP数据泄漏防护系统的pushSetup接口文件存在SQL延时注入漏洞。该漏洞可能导致攻击者通过精心构造的恶意数据,成功入侵系统,窃取...
SSTI模板注入漏洞详解(附一键getshell工具)
01.简介 什么是SSTI: SSTI漏洞的全称是服务器端模板注入(Server-Side Template Injection)漏洞。这是一种在服务器端模板引擎中注入恶意代码的攻击方式...
12