LLM大模型安全(4)- 供应链漏洞
LLM大模型安全(4)- 供应链漏洞 原创 比心皮卡丘 暴暴的皮卡丘 2024-11-15 18:08 本篇为大模型系列第四篇,讲述供应链漏洞;涉及较广,包含代码三方组件,云基础K8S、模型库等等,在本文最后章节介绍了目前真实应用的漏洞案例。 LLM系列前三篇 LLM大模型安全(1)-快速注入&不安全输出处理 LLM大模型安全(2)-训练数据投毒攻击 LLM大模型安全(3)- 模型DOS攻
继续阅读标签: SQL注入
【Pikachu】PHP反序列化RCE实战
【Pikachu】PHP反序列化RCE实战 原创 儒道易行 儒道易行 2024-11-15 18:00 痛是你活着的证明 1.PHP反序列化概述 在理解 PHP 中 serialize() 和 unserialize() 这两个函数的工作原理之前,我们需要先了解它们各自的功能及其潜在的安全隐患。接下来,我会对相关概念做更详细的扩展解释。 1. 序列化 serialize() 序列化(seriali
继续阅读2023年最易被利用的漏洞
2023年最易被利用的漏洞 何威风 河南等级保护测评 2024-11-15 16:00 根据五眼情报联盟政府机构的数据,2023年最常被利用的漏洞大多最初都是以零日漏洞的形式被利用的。 一份汇总数据 的 咨询报告显示 ,与上一年相比 ,2023年利用零日漏洞攻击企业网络的情况显著增加。上一年,被利用的顶级漏洞中只有不到一半是以零日漏洞的形式被发现的。 数据显示,威胁行为者在漏洞公开披露后的两年内继
继续阅读大语言语言模型安全攻击以及AI供应链漏洞
大语言语言模型安全攻击以及AI供应链漏洞 渊龙Sec安全团队 2024-11-15 11:28 01 简要说明 人工智能和人工智能的安全性正在以惊人的速度发展,AI模型供应链中使用的工具,用于构建机器学习模型,会使AI应用程序容易受到独特的安全威胁。 这些工具是开源的,这意味着它们开箱即用时可能存在漏洞,这些漏洞可直接导致完整的系统接管,例如未经身份验证的远程代码执行或本地文件包含。这意味着什么?
继续阅读FBI、CISA和NSA公布2023年利用最频繁的15个漏洞
FBI、CISA和NSA公布2023年利用最频繁的15个漏洞 Sergiu Gatlan 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FBI、NSA和五眼联盟的网络安全当局发布了2023年利用最频繁的15个漏洞清单。 周二,这些机构发布该清单,呼吁全球范围内的组织机构立即修复这些漏洞并不糊打补丁管理系统,将攻击风险降至最低。 这些机构提醒称,“
继续阅读谷歌AI平台存在漏洞,可泄露企业的专有LLMs
谷歌AI平台存在漏洞,可泄露企业的专有LLMs 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞,它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。 Pal
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330)
【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-14 16:52 漏洞名称: Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330) 组件名称: Ivanti Endpoint Manager 影响范围: Ivanti Endpoint Ma
继续阅读马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗?
马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗? 数世咨询 2024-11-14 16:01 自2022年底以来,随着生成式人工智能的兴起,网络安全领域遭遇了前所未有的挑战。仅在2023年,勒索软件的支付金额就飙升至超过11亿美元。 多款马自达汽车型号的信息娱乐系统存在漏洞,可能允许黑客以根权限执行任意代码,趋势科技的零日漏洞计划(ZDI)警告称。 ZDI 解释说,这些问题存在是因为马自达连
继续阅读2023年被利用最多的15个漏洞
2023年被利用最多的15个漏洞 原创 再说安全 再说安全 2024-11-14 15:04 FBI、NSA 和五眼联盟网络安全机构于2024年11月12日联合发布了一份警示通报, 揭示了 2023 年最常被利用的 15 个漏洞,其中大多数最初都是以零日漏洞的形式被滥用。这凸显了网络攻击的复杂性和隐蔽性正日益增强,全球网络安全形势面临严峻挑战。 该机构警告称,与 2022 年相比,2023 年恶意
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告 嘉诚安全 2024-11-14 10:49 漏洞背景 近日,嘉诚安全监测到Ivanti官方修复了一个Ivanti Endpoint Manager SQL注入漏洞,漏洞编号为:CVE-2024-50330。 Ivanti Endpoint Manager(EPM)是由Ivanti公司开发的一款综合性端点管理解决
继续阅读【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301
【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301 cexlife 飓风网络安全 2024-11-13 22:24 漏洞描述: Laravel是一个基于PHP的开源Web应用框架,它提供了一系列工具和特性,旨在简化Web应用程序的开发过程,Laravel中修复了一个环境变量注入漏洞(CVE-2024-52301),该漏洞的CVSS评分为8.7,Laravel框架受影响版
继续阅读掌握内存利用:基础知识、栈溢出、Shellcode、格式化字符串漏洞等
掌握内存利用:基础知识、栈溢出、Shellcode、格式化字符串漏洞等 Very Lazy Tech securitainment 2024-11-13 18:14 Mastering Memory Exploitation Fundamentals, Stack Overflows, Shellcode, Format String Bugs, and… 在网络安全领域,利用漏洞是一种结合系统深
继续阅读原创 Paper | Vigor3900 固件仿真及漏洞分析(CVE-2024-44844、CVE-2024-44845)
原创 Paper | Vigor3900 固件仿真及漏洞分析(CVE-2024-44844、CVE-2024-44845) 原创 404实验室 知道创宇404实验室 2024-11-13 15:36 作者:fan@知道创宇404实验室 时间:2024年11月13日 1.前言 参考资料 我在日常跟踪漏洞情报的过程中,看到 Vigor3900 最新版本固件 1.5.1.6 存在多处后台命令注入漏洞
继续阅读首届“数证杯”电子数据取证分析大赛报名启动;Epson打印机设备曝严重安全漏洞,攻击者可创建恶意管理员账户 | 牛览
首届“数证杯”电子数据取证分析大赛报名启动;Epson打印机设备曝严重安全漏洞,攻击者可创建恶意管理员账户 | 牛览 安全牛 2024-11-13 13:23 点击蓝字·关注我们 / aqniu 新闻速览 •工信部:发展低空产业 安全是重要前提 •首届“数证杯”电子数据取证分析大赛报名启动 •新型勒索软件Ymir现身,与RustyStealer组成危险攻击联盟 •Remcos RAT新型变种
继续阅读D-Link多款产品account_mgr.cgi接口存在远程命令执行漏洞CVE-2024-10914 附POC
D-Link多款产品account_mgr.cgi接口存在远程命令执行漏洞CVE-2024-10914 附POC 南风漏洞复现文库 2024-11-12 22:17 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link简介 微信
继续阅读漏洞推送|【未公开】东胜物流软件GetDataListCA存在SQL注入漏洞
漏洞推送|【未公开】东胜物流软件GetDataListCA存在SQL注入漏洞 原创 小白菜 小白菜安全 2024-11-12 18:45 漏洞描述 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。东胜物流软件 GetDataListCA 接口处存在 SQL 注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。 资产信息 fofa : b
继续阅读【成功复现】D-Link NAS远程命令执行漏洞(CVE-2024-10914)
【成功复现】D-Link NAS远程命令执行漏洞(CVE-2024-10914) 原创 弥天安全实验室 弥天安全实验室 2024-11-12 18:22 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Lin
继续阅读马自达 CMU 车机系统曝多项高危漏洞,可导致黑客远程执行代码
马自达 CMU 车机系统曝多项高危漏洞,可导致黑客远程执行代码 安世加 安世加 2024-11-12 18:15 11 月 10 日消息,安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统(Connect Connectivity Master Unit)存在多项高危漏洞,可能导致黑客远程执行代码,危害驾驶人安全。 IT之家获悉,这些漏洞影响 2014 至 2021 年款
继续阅读SDC2024 议题回顾 | 大模型软件生态系统的安全隐患:从传统漏洞到新型威胁
SDC2024 议题回顾 | 大模型软件生态系统的安全隐患:从传统漏洞到新型威胁 原创 SDC 2024 看雪学苑 2024-11-12 18:00 “ 大模型技术的迅猛发展和广泛应用,催生了一个庞大而复杂的软件生态系统,支撑着大模型的训练、推理、部署和服务。然而,随之而来的安全隐患也逐渐显现。 从”Shadowray”漏洞(CVE-2023-48022)到”P
继续阅读马自达汽车系统漏洞引发安全危机:黑客可执行任意代码
马自达汽车系统漏洞引发安全危机:黑客可执行任意代码 谈思实验室 2024-11-12 17:42 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 摘要:马自达汽车被爆出存在多个严重安全漏洞,黑客可通过USB设备执行任意代码,影响包括马自达3、马自达6和马自达CX-5在内的多个车型。这些漏洞使得攻击者能够操纵数据库、创建文件,甚至可能控制车辆操作和安全。 随着智能汽车技术的发展,网络安全问题日益
继续阅读(0day)全新优客API接口管理系统代码审计
(0day)全新优客API接口管理系统代码审计 原创 Mstir 星悦安全 2024-11-12 03:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 全新2024优客API接口管理系统,内置30+API接口,支持服务器信息,网站ICP备案,抖音无水印,QQ在线状态QQ头像,获取历史上的今天,IP签名档,ICO站标获,随机动漫图,网站标题获取,爱站权重获取,城市天气获取,随机一言,皮皮
继续阅读用友-U8-Cloud service/approveservlet接口存在SQL注入漏洞 附POC
用友-U8-Cloud service/approveservlet接口存在SQL注入漏洞 附POC 2024-11-11更新 南风漏洞复现文库 2024-11-11 22:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友-U
继续阅读马自达汽车因这些未修复的漏洞极易遭黑客攻击
马自达汽车因这些未修复的漏洞极易遭黑客攻击 原创 hackerson 黑客联盟l 2024-11-11 19:51 趋势科技的零日漏洞倡议组织(ZDI)披露,多款马自达汽车车型的信息娱乐系统存在可能导致代码执行的漏洞。 趋势科技的零日漏洞倡议组织(ZDI)警告称,多款马自达汽车车型信息娱乐系统中的漏洞可能会让攻击者以根权限执行任意代码。 ZDI 解释说,出现这些问题是因为马自达连接主控单元(CMU
继续阅读未修补的漏洞允许黑客攻击马自达汽车
未修补的漏洞允许黑客攻击马自达汽车 网安百色 2024-11-11 19:30 点击上方 蓝字 关注我们吧~ Trend Micro 的 Zero Day Initiative (ZDI) 警告说,多款马自达车型的信息娱乐系统中存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释说,这些问题的存在是因为 Mazda Connect 连接主控单元 (CMU) 系统没有正确清理用户提
继续阅读马自达爆出安全漏洞,影响旗下多款车型
马自达爆出安全漏洞,影响旗下多款车型 赛博研究院 赛博研究院 2024-11-11 19:25 趋势科技安全研究员披露,马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit0)存在高危安全漏洞,威胁攻击者可利用漏洞非法获得Root权限,并执行任意代码。 据悉,安全漏洞涉及系统版本为74.00.324A的车机,主要影响马自达3(2014-2021年款)
继续阅读D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备
D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备 Bill Toulas 代码卫士 2024-11-11 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 超过6万台已达生命周期的 D-Link NAS 设备易受命令注入漏洞 (CVE-2024-10914) 影响且利用已公开。 该漏洞的CVSS评分为9.2,位于 “cgi_user_add” 命令中,因该名称参数的
继续阅读Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞
Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞 Sergiu Gatlan 代码卫士 2024-11-11 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Palo Alto Networks 提醒客户称,应限制对下一代防火墙的访问权限,因为PAN-OS 管理接口中可能存在一个远程代码执行漏洞。 Palo Alto Networks 公司
继续阅读【入门篇】Android漏洞挖掘,实战演示挖掘技巧
【入门篇】Android漏洞挖掘,实战演示挖掘技巧 釉子 看雪学苑 2024-11-11 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌握
继续阅读马自达被曝存在多个漏洞,黑客可执行任意代码
马自达被曝存在多个漏洞,黑客可执行任意代码 FreeBuf 商密君 2024-11-10 16:06 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码
快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码 内生安全联盟 2024-11-10 15:57 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读