一、背景介绍近期,Citizen Lab发布了一份关于Paragon间谍软件的详细分析报告,Paragon是一家以色列的间谍软件公司,成立于2019年,由前以色列总理 Ehud Barak 和前以色列...
隐身调用:动态API技术在安全测试中的攻防价值
📌 免责声明:本系列文章仅供网络安全研究人员在合法授权下学习与研究使用,严禁用于任何非法目的。违者后果自负。一、什么是动态API在攻防演练C2免杀领域中,“动态API” 主要指的是绕过静态检测的一种技...
万字长文深入浅出教你优雅开发复杂AI Agent
作者:walli 在 AI Agent 浪潮席卷行业的当下,高效优雅开发具备复杂推理与协作能力的智能体成为业界焦点。本文将系统梳理 AI Agent 核心理念、主流协议与思考框架,并结合 Golang...
iPhone 玻璃笼:利用两枚零日漏洞的国家级攻击链揭秘
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
企业级VPN NetExtender任意文件删除到权限提升漏洞剖析
看似普通的文件删除漏洞,实则暗藏提升权限的‘机关’,SonicWall NetExtender的这些漏洞是如何被一步步攻破的?在网络安全的世界里,每一次漏洞的发现都是一场与时间赛跑的较量。在近期一次基...
渗透测试-postmessage xss
介绍看国外好多这种漏洞,刚好挖掘某 SRC 的时候也发现了类似的点,所以觉得还是有必要记录一下介绍postMessage() 方法用于安全地实现跨源通信。参考 1:https://www.runoob...
苹果iMessage中的严重零点击 (zero-click) 漏洞
苹果iMessage中的严重零点击 (zero-click) 漏洞安全公司iVerify最近发布了一份名为“昵称 (Nickname)”的漏洞报告,揭示了一个存在于苹果iMessage中的严重零点击 ...
利用 XSS 实现最大影响
— ﷽ — 最近查看我的数据时,我发现了一些有趣的事情。我报告最多的漏洞类型是XSS(跨站脚本)。 我的 BugCrowd 提交类型和严重性 这并不让我感到惊讶,我一直对客户端漏洞特别感兴趣。 在这...
图神经网络系列四:GraphSage
Inductive Representation Learning on Large Graph引言概要两类图算法在大规模图上学习节点embedding,在很多任务中非常有效,一般来说分位l两类算法:...
一处价值 $2500 的 DOM XSS 漏洞
概述 安全研究员 gamer7112 通过利用配置错误的 postMessage 处理器,在 Upserve 的登录页面(https://inventory.upserve.com/lo...
介绍一种入侵 Office 365 账户的新型钓鱼技术
【翻译】Introducing a new phishing technique for compromising Office 365 accounts 针对 Microsoft 365 的全球持续...