标签： SQL注入

.NET 高级代码审计：一种尚未公开绕过 GZip 实现反序列化漏洞的方法 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-23 00:28 在.NET反序列化漏洞审计与利用过程中，攻击者通过 BinaryFormatter  类型进行 payload 加载与执行。本文将从 GZip 技术基础出发，逐步分析如何结合 BinaryFormatter 触发反序列化漏洞，并介绍审计过程中

小白黑客成长日记：漏洞批发商与罪证算法 原创 冰雪封城 密雾九尾 2025-04-22 12:53 根据《未成年人保护法》第七十三条，违法处理儿童个人信息最高可处百万罚款并吊销执照。文章中渗透测试行为皆在警方监督下进行，现实中的漏洞验证必须遵循《网络安全法》第二十六条，擅自扫描商业系统可能构成「非法侵入计算机信息系统罪」。 林小白盯着调解室墙上的《网络安全法》第二十七条，日光灯管在条款末尾“处五日

仅有不到一半的可利用漏洞被企业修复，GenAI 漏洞更低 Dark Reading 代码卫士 2025-04-22 10:34 聚焦源代码安全，网罗国内外最新资讯！ 编译：代码卫士 渗透测试即服务 (PTaaS) 的先锋、攻击性安全服务领先提供商 Cobalt 发布第七份年度《渗透测试现状》报告披露称，在所有可被利用的漏洞中，被组织机构修复的不到一半，而仅有21%的生成式AI app中的漏洞得到修

安全通告丨网络安全漏洞通告（2025年4月） 创信华通 2025-04-22 05:20 作为国内权威的安全漏洞通告组织，创信华通基于自身的威胁情报和漏洞挖掘能力，对全球最新的安全漏洞及安全事件进行跟踪研究，在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯，以帮助用户提升网络安全的预警和响应能力。 一、 漏洞预警 / 2025.4 在第一时间内向用户发布高危漏洞预警，通告漏洞的危害程度、

科拓全智能停车收费系统（漏洞复现） 原创 Advanced Threat 破晓信安 2025-04-22 01:01 免责声明 本文仅用于学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ，由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失， 均由使用者本人负责，所产生的一切不良后果均与文章作者及本账号 无关 ，本次测试仅供学习使用！！！ 系统描述 科拓全智能停车收

Java代码审计之命令执行漏洞详解 船山信安 2025-04-21 16:00 0x01 漏洞简介 在Java代码审计中，命令执行漏洞指应用程序未对用户输入进行严格过滤，直接将外部可控参数拼接到系统命令中执行，导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函数执行系统命令时，未对用户输入的参数进行安全校验或转义，导致用户可通过构造特殊字符（如管道符| 、命令分隔符; ）或参

RAG 受到攻击：LLM 漏洞如何影响真实系统 Peter Dienes 网空安全手札 2025-04-21 13:31 在第一部分中，我们展示了如何欺骗大语言模型（LLM）来执行数据。这一次，我们将了解这在现实世界的检索增强生成（RAG）系统中是如何发挥作用的 —— 在现实世界中，被污染的上下文会导致网络钓鱼、数据泄露和绕过防护措施，甚至在内部应用程序中也是如此。 在本系列的第一篇文章 中，我们