《LLM大模型越狱攻击预防与框架》第10章:未尽探索 (Unexplored Mist) 原创 李滨 锐安全 2025-06-08 23:07 《深度研究 》栏目文章 为了安全更闪耀 本文 9220 字,阅读时长约 30 分钟 导读 接上文,继续探讨 LLM大模型越狱攻击预防之道 第10章 未尽探索 (Unexplored Mist) 尽管针对大语言模型( LLM )的越狱攻击与防御技术在近年来取
继续阅读0041.我是如何接管 Vercel 子域名的 Joel I Patrick Rsec 2025-06-08 15:06 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:子域名接管 图1:封面 各位安全爱好者和漏洞赏金猎人,大家好! 我是 Joel,想分享一个关键却经常被忽视的安全问题。这次,我们将探讨一个虽然小众却至关重要
继续阅读16核CPU烧到100%!21节点六种漏洞扫描模式实测,这种模式让服务器暴走 内存泄漏 2025-06-08 13:05 通过前面几次介绍,我们对GVM/OpenVAS的部署方式已经有了大致的了解。综合来看,在Kali系统中部署的方式可以算是最简单快捷的 (两条命令搞定!Kali原生集成GVM漏洞扫描器,比Docker省5GB空间 ),而且磁盘占用和部署耗时比Docker方式都要少 (6年旧镜像翻
继续阅读CVE-2025-32756 的概念证明 – 一个影响多种 Fortinet 产品的严重基于堆栈的缓冲区溢出漏洞 Ots安全 2025-06-08 12:54 影响 Fortinet 产品的关键基于堆栈的缓冲区溢出漏洞 (CVE-2025-32756) 的概念验证。 漏洞 – CVSS:9.8(严重) 类型:AuthHash cookie 处理中的基于堆栈的缓冲区溢出 影响
继续阅读CVE-2025-49223 – Billboard.js 中的原型污染 Ots安全 2025-06-08 12:54 3.15.1 之前的 billboard.js 被发现通过函数包含原型污染generate,这可能允许攻击者执行任意代码或通过注入任意属性导致拒绝服务(DoS)。 该存储库演示了在3.15.1 之前的billboard.js版本中发现的原型污染漏洞,披露为CVE-20
继续阅读锐捷EWEB路由器 timeout.php 任意文件上传漏洞 Superhero Nday Poc 2025-06-08 12:45 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 锐捷EWEB路由器 tim
继续阅读【安全圈】Play勒索团伙利用SimpleHelp漏洞实施双重勒索 安全圈 2025-06-08 11:00 关键词 勒索 美国联邦调查局(FBI)最新通报:Play勒索软件团伙已攻击全球900多家机构,并升级双重勒索手段 美国联邦调查局(FBI)周三发布警告称,与Play勒索软件相关的犯罪团伙已对全球超过900家企业及机构 实施攻击,并在双重勒索(窃取数据+加密勒索)行动中开发了多项新手段——包
继续阅读【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台 安全圈 2025-06-08 11:00 关键词 黑客 谷歌披露新型云端攻击链:黑客团伙伪装IT支持实施语音钓鱼,瞄准欧美零售、酒店及教育行业 攻击手法升级:利用Salesforce工具+社会工程学窃取数据 谷歌威胁情报团队周三发布报告指出,一个自称“The Community ”(简称Com )的青少年黑客组织正通过语
继续阅读Wireshark漏洞可通过恶意数据包注入引发拒绝服务攻击 商密君 2025-06-08 10:35 Part01 高危漏洞影响全球用户 知名网络协议分析工具Wireshark近日曝出高危漏洞(CVE-2025-5601),攻击者可通过注入数据包或使用畸形抓包文件触发拒绝服务(DoS)攻击。该漏洞由Wireshark基金会编号为wnpa-sec-2025-02,于2025年6月4日披露,CVSS评
继续阅读一款以Web与全版本服务漏洞检测为核心的辅助性主、被动扫描工具 黑白之道 2025-06-08 10:24 工具介绍 一款以Web与全版本服务漏洞检测为核心的辅助性主、被动扫描工具. 1. WAF判断、指纹信息与插件扫描的联动 能够解析伪静态、XML等复杂格式中的潜在参数(Beta) 以SQLite3提供扫描记录等数据储存支持 基于Python3开源并提供全平台支持 支持IPV6解析域名(Beta
继续阅读蜂信物联 FastBee 物联网系统 download 文件下载漏洞 HK安全小屋 2025-06-08 08:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 蜂信物联(FastBee)物联网平台download存在任意文件
继续阅读某日志管理系统前台注入(0day) 原创 知名小朋友 进击安全 2025-06-08 07:33 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 学习一下这个审计流程,在审计过程当中遇到了重重防护最终找到注入点。 二、审计流程 查看文件目录结构可以看出来不是框架类型的,我们找
继续阅读感谢大家的关注与支持 送两0DAY吧 Lzer0Kx01 LK安全 2025-06-08 06:12 免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK 安全公众号 及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢大家!!! 请勿利用文章内的相关技术从事非法测试,由于传播,利用此文所提供的信息而
继续阅读当系统崩盘,Busybox 如何成为你的“诺亚方舟”?漏洞排查的另类视角 龙哥网络安全 龙哥网络安全 2025-06-08 03:00 一、Busybox:小身材,大能量?应急响应的“瑞士军刀” 静态编译:不只是“硬汉”,更是安全基石 别小看“静态编译”这四个字,在安全圈里,它可是关键先生。想象一下,你的服务器被黑客攻破,动态链接库被动了手脚,那些常用的命令,比如ls 、ps ,全成了“伪君子”,
继续阅读小米:车联网安全漏洞挖掘 GRCC IoVSecurity 2025-06-08 02:17 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 汽车信息安全 漏洞 扫描及模糊测试工具介绍 汽车.工控和 物联网 行业的.0
继续阅读【漏洞】PHP代码审计篇 – 信呼OA 前台分析SQL注入 CrayonXiaoxin 神农Sec 2025-06-08 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:
继续阅读还在用Wireshark?这款工具直接帮你提取Web攻击+复现请求全过程! 网络安全与取证研究 2025-06-08 01:01
继续阅读LazyHunter:自动漏洞扫描的工具 原创 白帽学子 白帽学子 2025-06-08 00:11 之前hvv演练那阵子,咱们团队天天跟甲方资产清单较劲。你懂的,那些动不动就上万IP的扫描任务,光是端口服务识别就得折腾大半天。上周测试新工具的时候,LazyHunter倒是给我省了不少事。 记得上个月给某金融客户做安全加固,他们给的资产列表里混杂着测试环境和生产环境。用这工具批量导入IP段后,Sh
继续阅读【成功复现】vBulletin远程代码执行漏洞(CVE-2025-48827&CVE-2025-48828) 原创 弥天安全实验室 弥天安全实验室 2025-06-08 00:01 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Internet Brands vBulletin是Internet
继续阅读潜伏十年的严重漏洞:CVE-2025-49113 Roundcube 反序列化漏洞原理与 gadget 构造深度分析 原创 KCyber 自在安全 2025-06-07 23:30 漏洞概述 近日官方披露 Roundcube 邮件系统中存在一个潜伏了10 年之久的严重漏洞,虽然只有认证后才能触发,但CVSS 评分仍然高达9.9 分。由于Roundcube 自定义的session 序列化与反序列化函
继续阅读网络安全人士必知的 AWVS 漏洞扫描工具 原创 承影 兰花豆说网络安全 2025-06-07 15:51 随着网络攻击手段的日益复杂,网站安全成为信息安全防护的重要一环。Web 应用作为企业对外开放的重要窗口,也是攻击者的重点目标。SQL 注入、跨站脚本(XSS)、文件包含、命令执行等常见漏洞频频出现在安全事件中。因此,选择一款高效、全面的 Web 漏洞扫描工具对安全人员来说至关重要。AWVS(
继续阅读【JAVA代审】从0到实战:超全Java SQL注入漏洞全解析与防御指南 The One安全 2025-06-07 15:00 sql注入 我们要先明确,java是强类型语言,实战我想我们也遇到不少尝试sql注入但是遇到java强制类型要求,参数只能是integer类型的java报错,这种是不存在sql注入的,所以只有变量是String类型的时候,才会存在sql注入。 现在就来看看常规的可以执行s
继续阅读赚取50000美元的5个顶级 XSS PoC Z2O安全攻防 2025-06-07 14:39 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 通过 5 个顶级 PoC 学习精英白帽寻找 XSS 的方法与技巧。 PoC1:文件上传+CSRF 寻找易受攻击的端点 在支持聊天功能的窗口拦截文
继续阅读智联云采 SRM2.0系统接口 autologin 身份认证绕过漏洞 HK安全小屋 2025-06-07 14:01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 由于智联云采 SRM2.0 autologin 接口代码逻辑存在
继续阅读【攻防实战】phpmyadmin-RCE集锦 原创 平凡安全 平凡安全 2025-06-07 12:00 「phpmyadmin反序列化漏洞」 「漏洞描述」 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 「影响范围」 2.x 「实战过程」 访问 http://x.x.x 抓包,修改发送如下数据包,即可读取/etc/passwd: POS
继续阅读【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞 安全圈 2025-06-07 11:00 关键词 漏洞 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患:通过HTTP明文传输数据并在代码中硬编码密钥,导致用户隐私与安全面临风险。 赛门铁克安全技术响应团队研究员指出:“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据,以明文形式暴露浏览域名、设备ID、操作
继续阅读CVE-2025-48827|vBulletin远程代码执行漏洞(POC) alicy 信安百科 2025-06-07 10:50 0x00 前言 vBulletin是一个强大,灵活并可完全根据自己的需要定制的商业论坛程序(非开源),它使用PHP脚本语言编写,并且基于以高效和高速著称的数据库引擎MySQL。 0x01 漏洞描述 调用受保护的API控制器 replaceAdTemplat 执行未授权
继续阅读CVE-2025-49113|Roundcube Webmail反序列化漏洞(POC) alicy 信安百科 2025-06-07 10:50 0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。 Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了
继续阅读6.11北京 | 报名FORCE原动力大会-大模型安全分会场 文末有福利 FB客服 FreeBuf 2025-06-07 10:01 6月11日-12日 「2025春季·火山引擎FORCE原动力大会」 将于北京国家会议中心 盛大开启! 会议将围绕 AI Agent | MCP | 多模态理解 | 深度思考 AI 云原生 | AI 基础设施 | 行业落地 多个主题进行 6月11日下午3点 ,Free
继续阅读2025 HVV必修高危漏洞集合3 计算机与网络安全 2025-06-07 09:57 本次高危漏洞自查列表 漏洞名称 漏洞类型 所属厂商 影响版本 OpenSSH Server 远程代码执行漏洞 远程代码执行漏洞 OpenSSH 5.3.0 <= Apache Solr < 8.11.4 9.0.0 <= Apache Solr < 9.7.0 PHP CGI
继续阅读