文章总结: NVIDIAMerlin框架发现两个高危反序列化漏洞CVE-2025-33214和CVE-2025-33213,分别影响NVTabular的Work
2025-12-2229评论
网络安全文章
NVIDIAMerlin框架存在反序列化漏洞,可致AI管道遭RCE攻击
2025-12-2229评论
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
网络安全文章
2025-12-2229评论
网络安全文章
年底办公防骗指南——火绒安全守护您的钱袋子!
文章总结: 年底办公场景中补贴类诈骗高发,骗子通过钉钉飞书等办公软件伪装成同事或税务部门发送虚假链接。火绒安全建议开启文件实时监控功能,每周多次快速查杀,每月全
2025-12-2226评论
网络安全文章
XXE漏洞基本原理及防御
文章总结: XXE漏洞是一种XML外部实体注入漏洞,攻击者通过构造恶意XML数据引入外部实体,导致信息泄露、服务器端请求伪造等危害。漏洞原理是XML解析器配置不
2025-12-2227评论
网络安全文章
Z0扫描器架构解析:从指纹到二级参数解析的实践
文章总结: 本文解析Z0扫描器架构,包括指纹识别与POC集成、智能IP封禁检测、Crawlee爬虫集成及二级参数解析。Z0通过集成ObserverWard实现精
2025-12-2228评论
网络安全文章
Windows安全研究高级课程:深入COM与RPC,掌握权限提升之道
文章总结: 本文档介绍了一门Windows安全研究高级课程,专注于COM与RPC机制和权限提升技术。课程内容包括Windows权限提升核心技术、COM与RPC专
2025-12-2230评论
网络安全文章
【Java代审】小白如何根据1day挖出天锐绿盾前台RCE0day?
文章总结: 文章详细介绍了如何通过Java代码审计从已知漏洞(1day)发现新漏洞(0day)的过程。作者分析了天锐绿盾审批系统的文件上传功能,发现addFil
2025-12-2236评论
网络安全文章
构建大模型安全自动化测试框架:从手工POC到AI对抗AI的递归Fuzz实践
文章总结: 这篇文章介绍了构建大模型安全自动化测试框架的方法,从手工POC测试升级到AI对抗AI的递归Fuzz实践。框架支持参数化Fuzz、内置规则引擎与AI语
2025-12-2260评论
网络安全文章
【Java安全】一些Java小tricks的妙用
文章总结: 本文介绍了三个Java安全小技巧及其在免杀中的应用:1)Unicode解析特性可用于JSP免杀和代码混淆,将恶意代码转换为Unicode编码可降低检
2025-12-2233评论
网络安全文章
【Java安全】保姆级shiro+spring环境分析并复现spring内存马注入
文章总结: 这篇文章详细介绍了Shiro550反序列化漏洞的原理和利用方法,以及如何通过CommonsBeanutils链(CB链)和Spring框架注入内存马
2025-12-2233评论
网络安全文章
从BlockDLL到FairyLaw,削弱edr奇招
文章总结: 文章介绍了两种绕过EDR安全软件的方法,通过阻止非Microsoft签名的DLL加载来防止安全解决方案注入钩子。第一种方法是使用特定进程创建标志,第
2025-12-2236评论
网络安全文章
MasterV2.0全新推出
文章总结: MasterV2.0是一款专为行动安全和规避研发的工具,集成了权限维持、权限提升、后渗透利用、白流量通讯、堆栈欺骗等高阶技术。文章详细介绍了其多个功
2025-12-2252评论
网络安全文章
随意控制你的AMSI
文章总结: 本文详细介绍了AMSI(反恶意软件扫描接口)的工作原理及多种绕过技术,包括修补内存区域、阻止DLL加载和硬件断点等方法。文章指出AMSI绕过主要在P
2025-12-2281评论
网络安全文章
破除AIAgent自主操控风险:万字解读LangGraph“人工干预”机制,附零基础实战
文章总结: 本文详细介绍了LangGraph框架的人工干预机制,通过interrupt实现在AIAgent执行关键任务时的暂停与人工介入。文章阐述了四种核心模式
2025-12-2229评论
网络安全文章
新一代C3-Master
文章总结: C3-Master是一款企业级红队对抗平台,专为高阶攻防演练设计,专注于提升红队在全球化安全环境下的高级威胁模拟能力。产品采用零特征架构设计,包括自
2025-12-2235评论
网络安全文章
VSRC邀您共度中秋佳节!
文章总结: 唯品会安全应急响应中心(VSRC)发布中秋佳节祝福,旨在与社区成员共度节日。该内容为纯粹的节日问候,未涉及任何技术议题、安全研究、漏洞预警或可操作建
2025-12-2229评论
网络安全文章
VSRC夏日安全进行时
文章总结: 唯品会安全应急响应中心(VSRC)于2025年6月27日发布了夏日安全活动通知,但内容中未提供具体活动细节、时间安排或参与方式,仅包含一张图片作为视
2025-12-2219评论
网络安全文章
Android设备指纹攻防对抗:漏洞挖掘与风险环境检测
文章总结: 本文介绍了Android设备指纹攻防对抗技术,包括改机概念和黑产手段如Magisk模块、APatch模块等,分析了目标进程注入和非目标进程注入的原理
2025-12-22117评论
网络安全文章
“粽”情一夏,放“粽”精彩–VSRC陪你过端午
文章总结: 唯品会安全应急响应中心(VSRC)发布端午节活动宣传,标题使用粽子的双关语粽情和放粽来吸引读者,这是一个与端午节相关的社区互动活动,旨在增强安全社区
2025-12-2223评论
网络安全文章
利用锁屏图片配置程序远程下载文件
文章总结: 本文介绍了利用Windows系统自带的Desktopimgdownldr.exe程序远程下载文件的技巧,该程序原本用于配置锁屏图片。通过设置SYST
2025-12-2216评论
网络安全文章
【校招+社招】中国电信大可实验室招聘全面启动,职等你来!
文章总结: 中国电信大可实验室是中国电信集团直属的网络安全研究机构,依托云网基础设施安全国家工程研究中心,承担安全攻防技术研究与国家网络空间安全能力建设。实验室
2025-12-2275评论
网络安全文章
挑战|一起来审计一个认证部分的代码漏洞
文章总结: 本文发布了一个关于JWT认证功能的代码审计挑战。文章首先介绍了JWT的结构,包括header、payload和signature三部分及其签名原理。
2025-12-2242评论
网络安全文章
基础|内网渗透,一键拿下域控的两个漏洞
文章总结: 文章介绍了内网渗透中可直接拿下域控的两个关键漏洞:CVE-2020-1472(Zerologon)和CVE-2021-42287。CVE-2020-
2025-12-2236评论
网络安全文章
一个文件上传的功能,可能出现哪些类型的漏洞?
文章总结: 该文档分析了文件上传功能可能存在的多种安全漏洞。核心风险包括:当文件名后缀可控时,直接上传Webshell获取服务器权限;文件名存入数据库时可能引发
2025-12-2226评论
网络安全文章
CyberStrikeAI—— AI自主渗透测试平台(内置上百个安全工具)
文章总结: CyberStrikeAI是一个基于Golang构建的AI自主渗透测试平台,内置上百个安全工具,支持通过MCP协议实现AI智能决策与自动化执行。平台
2025-12-2299评论
网络安全文章
kubectl-ai——k8s的智能助手
文章总结: kubectl-ai是一个Kubernetes智能助手,可将用户意图转化为精确的K8s操作,支持Gemini、OpenAI等多种AI模型。文章介绍了
2025-12-2235评论