代码注入漏洞

2024年OWASP LLM安全漏洞年度报告

市场概述在生成式AI技术迅猛发展的2024年,企业对AI技术的采用呈现爆发式增长。根据MenloVentures发布的最新市场数据显示,2024年AI相关投资规模已达到138亿美元的历史新高,较2023年增长达6倍。调查数据显示,72%的美国企业决策者正在扩大其生成式AI工具的应用范围,反映出市场对AI技术的强烈需求。然而,伴随着新技术的广泛应用,相关的安全风险也随之显现。部分企业在缺乏充分安全预
星尘安全·2025-05-10 18:56

WPDRRC 模型:构建动态闭环的信息安全防御体系

Recovery)和反击(Counterattack)六个环节组成,各环节的安全防范功能如下:1.预警(Warning)功能:通过对系统和网络中的各种信息进行收集、分析和评估,及时发现潜在的安全威胁和漏洞
编程在手天下我有·2025-05-10 13:55

信息安全威胁全景解析:类型、手段与潜在风险

这些威胁可能来自外部的恶意攻击者,也可能源于内部人员的无意或有意行为,还可能是由于技术漏洞、管理不善、自然灾害等多种原因造成。
编程在手天下我有·2025-05-10 13:25

服务器配置错误导致SSL/TLS出现安全漏洞,如何进行排查?

SSL/TLS安全漏洞排查与修复指南一、常见配置错误类型‌弱加密算法与密钥问题‌使用弱密码套件(如DES、RC4)或密钥长度不足(如RSA密钥长度<2048位),导致加密强度不足。
网硕互联的小客服·2025-05-10 07:12

网络安全每日checklist

在网络安全体系中,0day通常是指还没有补丁的漏洞,而0day攻击则是指利用0day漏洞进行的攻击。
黑客-秋凌·2025-05-10 03:48

大模型+代码分析:我用 AI 找到了10个历史安全漏洞

Step1:引子(Hook)前段时间我一时兴起,把三年前写的老项目丢给了一个大模型审一审,结果它翻出了我亲手埋的十个安全雷。看着模型一本正经地告诉我:“你这段SQL拼接有注入风险”,我竟一时语塞——因为那真的是线上出过事故的地方。于是我开始认真思考:这个AI是不是该发年终奖了?今天这篇文章,就带大家复盘一下这场“AI揪出自己写的锅”的全过程。Step2:实验背景(老代码+模型=修罗场)事情的起因是
审计侠·2025-05-09 14:19

软件工程领域开源项目的安全防护要点

软件工程领域开源项目的安全防护要点关键词:软件工程、开源项目、安全防护、漏洞管理、供应链安全摘要:本文聚焦于软件工程领域开源项目的安全防护要点。随着开源项目在软件开发中的广泛应用,其安全问题日益凸显。
软件工程实践·2025-05-09 09:12

【GitHub项目推荐--大模型开源!网络安全大模型】【转载】

其潜在应用场景广泛,涵盖了漏洞分析、溯源分析、流量分析、攻击研判、命令解释以及网安知识问答等多
旅之灵夫·2025-05-09 08:07

网络安全大模型开源项目有哪些?

01Ret2GPT它是面向CTF二进制安全的工具,结合ChatGPTAPI、Retdec和Langchain进行漏洞挖掘,它能通过问答或预设Prompt对二进制文件进行分析。
安全方案·2025-05-09 08:07

什么是缓冲区溢出?NGINX是如何防止缓冲区溢出攻击的?

缓冲区溢出(BufferOverflow)是一种常见的计算机安全漏洞,通常发生在程序处理输入数据时。
java1234_小锋·2025-05-09 03:37

rce漏洞(远程代码执行漏洞

一概述:在Web应用开发中为了灵活性,简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞·二、常见的RCE漏洞1.系统命令执行函数
墨菲斯托888·2025-05-09 00:21

【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)

姿势登录处直接注入会提示youarenotaninneruser,sowecannotletyouhaveidentify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:先在登录处抓包判断注入参数
秋说·2025-05-09 00:51

基于跨架构算法的高效物联网漏洞挖掘系统 跨架构高效物联网漏洞挖掘系统搭建 系统检测模型搭建之固件上传

4.2.2固件上传同时,当采集固件数据过于大时,本项目思考增加一个云端功能,能够更好保存提取出的固件数据,数据上传云端是将数据放在第三方平台上,可以随时下载,方便保存和管理。可以采用的现存的云端服务器数据管理,例如华为云、阿里云、腾讯云等。本项目采用最简单华为云来进行测试。华为云是华为公司推出的一项云计算服务。它提供了一系列的云计算产品和服务,包括云服务器、云存储、云数据库、云安全、人工智能、大数
XLYcmy·2025-05-08 03:43

2025年渗透测试面试题总结-网络安全、Web安全、渗透测试笔试总结(一)(附回答)(题目+回答)

DLL劫持原理7.0day漏洞8.Rootkit是
独行soc·2025-05-08 00:17

2025年渗透测试面试题总结-渗透岗位全职工作面试(附回答)(题目+回答)

目录一、通用基础类问题1.自我介绍2.职业动机与规划3.加班/出差接受度二、安全技术类问题1.漏洞原理(如SSRF、XXE、反序列化)2.代理原理(正向/反向代理)3.安全防护措施(如CSRF防御)三、
独行soc·2025-05-08 00:17

2025年渗透测试面试题总结-某互联网500强甲方红队攻防研究员面试题(题目+回答)

目录某互联网500强甲方红队攻防研究员面试题1.免杀技术(2025年演进)2.PHP5与PHP7+核心区别与漏洞利用3.Log4j漏洞检测与不出网利用4.Fastjson不出网利用5.Java内存马(2025
独行soc·2025-05-08 00:47

2025年渗透测试面试题总结-某一线实验室实习扩展(题目+回答)

反弹定时确认包流量检测1.1攻击原理与特征1.2分析流程优化1.3高级对抗技术二、红队实战难题突破2.1锐捷路由器Webshell反弹失败深度分析2.1.1可能原因矩阵2.1.2闭环处理流程三、资产定位与漏洞挖掘
独行soc·2025-05-08 00:17

2025年渗透测试面试题总结-某战队红队实习面经(附回答)(题目+回答)

目录某战队红队实习面经个人经历与技术能力2.HVV/攻防演练成绩3.上一个工作主要内容4.有意思的逻辑漏洞案例5.自研武器/工具6.CVE/CNVD编号8.钓鱼攻击经历Web安全深度解析1.XSS高级利用
独行soc·2025-05-07 23:16

xss跨站脚本【反射型---Reflected Cross Site Scripting (XSS)】

介绍:跨网站脚本(Cross-sitescripting,XSS)又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。
老六_小二郎·2025-05-07 23:15

汽车软件安全挑战与应对

在汽车“新四化”浪潮背景下,汽车软件的占比和代码量激增,汽车联网和自动驾驶功能快速发展,软件缺陷/漏洞带来的安全风险和解决安全隐患的难度随之加大,汽车信息安全变得越来越重要。
昂辉科技·2025-05-07 18:15

2025年渗透测试面试题总结- 某深某服-漏洞研究员实习扩展(题目+回答)

目录深某服-漏洞研究员实习一、在XX实习时做了什么(需结合具体企业背景补充)二、渗透测试思路的六阶段模型三、护网中承担角色及技术实现1.攻击队(红队)核心职责2.监控组(蓝队)关键技术3.溯源组核心技术栈四
独行soc·2025-05-07 17:36

2025年渗透测试面试题总结- 深某服-漏洞研究员实习(题目+回答)

目录深信服-漏洞研究员实习1.在XX实习时做了什么2.渗透测试的思路简单描述3.护网中承担什么角色4.红队一些攻击思路5.拿下系统如何横向6.Log4j漏洞(CVE-2021-44228)研究7.内存码
独行soc·2025-05-07 17:35

爬虫逆向:Hook 技术原理与实战

爬虫和逆向教程-专栏介绍和目录文章目录1.Hook技术概述1.1Hook技术作用1.2Hook技术在爬虫逆向中的应用场景1.3常用工具与库1.4hook实施步骤2.Hook技术原理2.1函数拦截2.2代码注入
数据知道·2025-05-07 14:44

吃透 CSP:现代 Web 安全的核心机制

作为Web开发工程师,我们时刻面临着各种安全威胁,其中跨站脚本攻击(XSS)是最常见也是危害最大的漏洞之一。攻击者通过注入恶意脚本,可以窃取用户敏感信息、劫持会话甚至篡改网页内容。
蓝精灵001·2025-05-07 11:57

文件上传/读取/包含漏洞技术说明

一、文件上传漏洞漏洞概述:文件上传漏洞源于未对用户上传的文件进行严格校验,攻击者可上传恶意文件(如Webshell)至服务器,导致服务器被控制、数据泄露等危害。
Alfadi联盟 萧瑶·2025-05-07 10:21

跨平台物联网漏洞挖掘算法评估框架与实现结题报告 漏洞挖掘方法研究过程 跨漏洞挖掘方法 对比研究

2.2对比研究这里由于代码量过大,且根据实验效果单架构的各方法在性能和效率方面很不理想,远次于跨架构方案,因此下面仅阐述各架构下的方法。在ARM构架下的Firmalice2015,主要技术包含静态分析,单独分析,黑盒二进制,基于符号执行和程序切片。提出了固件恶意,一个二进制分析框架,以支持在嵌入式设备上运行的固件的分析。构建在符号执行引擎和程序切片等技术之上,以提高其可伸缩性。此外,该方法利用了一
XLYcmy·2025-05-07 10:19

跨平台物联网漏洞挖掘算法评估框架与实现结题报告 漏洞挖掘方法研究过程 跨漏洞挖掘方法 Gemini 测评

2.1.1.4测评在训练完成后,我们尝试进行下一步。一方面是需要验证网络,使用验证集对训练好的神经网络进行验证。如果网络的表现不好,需要重新调整网络的参数。另外一方面是需要测试网络,最终使用测试集对训练好的神经网络进行测试,以评估网络的性能。为做到上述两方面,我们设计了eval.py来实现这一功能,代码如下:importtensorflowastfprint(tf.__version__)#imp
XLYcmy·2025-05-07 10:49

跨平台物联网漏洞挖掘算法评估框架与实现结题报告 漏洞挖掘方法研究过程 跨漏洞挖掘方法 GMN 总结和不足

2.1跨漏洞挖掘方法2.1.2GMN2.1.2.3总结和不足在GMN实现的过程中,遇到了各种问题。
XLYcmy·2025-05-07 10:18

3个月时间,5名黑客找出苹果55个漏洞,赚了5万多美元,还写了篇博客记录全程

不过,在今年这场别开生面的发布会之前,以安全著称的苹果却忽然被曝出55个漏洞。想要剁手的朋友们尽管放宽心,因为这些漏洞已经被5名黑客报给了苹果,还因此小赚一笔,获得了5万美金的奖励。
BigDataDigest·2025-05-06 19:49

【渗透测试】任意文件上传下载漏洞原理、复现方式、防范措施

文章目录任意文件上传下载漏洞原理、复现方式、防范措施一、任意文件下载**原理**示例产生原因**复现方式**1、判断是否有下载漏洞2、尝试下载文件**防范措施**二、任意文件上传**原理****复现方式
凪z·2025-05-06 15:01

硬件设备网络安全问题与潜在漏洞分析及渗透测试应用

《硬件设备网络安全问题与潜在漏洞分析及渗透测试应用》声明!
风间琉璃""·2025-05-06 08:41

数字化时代下,软件测试中的渗透测试是如何保障安全的?

在如今数字化与信息化的时代,软件测试中存在渗透测试,其位置十分重要,它借助模拟恶意攻击的方式,去发现软件系统所存在的漏洞以及安全问题,这是保障软件安全的关键环节,接下来我会对它的各个方面进行详细介绍。
智云软件测评服务·2025-05-06 08:40

安全测试在银行软件开发中的关键作用!

这在银行业中尤为关键,因为一次安全漏洞可能会暴露敏感的金融数据、侵蚀公众信任,并带来毁灭性的后果。这就是为什么安全测试需要在我们的开发实践中占据中心位置。
小码哥说测试·2025-05-06 06:24

主机漏洞扫描:如何保障网络安全及扫描原理与类型介绍?

主机漏洞扫描是保障网络安全的关键办法,它能对主机展开全面检测,借助这种检测能及时找出潜在的安全风险,从而避免遭受黑客攻击。下面会为你具体介绍主机漏洞扫描的有关事项。
智云软件测评服务·2025-05-06 06:53

操作系统安全:漏洞识别与防御策略

操作系统安全:漏洞识别与防御策略背景简介随着技术的快速发展,操作系统面临着各种各样的安全威胁。程序员在设计软件时,必须考虑到潜在的漏洞,并通过合适的防御策略来保护系统不受攻击。
三更寒天·2025-05-06 04:11

18 款漏洞扫描神器大集合,网络安全从业者速进

友情提醒:(1)声明:所有分享,仅做学习和交流之用(2)提醒:若有帮助,及时下载,24h删除1.CMSeeK漏洞利用工具https://pan.quark.cn/s/75e40adfd60c2.Wafw00f
Kali与编程~·2025-05-05 21:02

【人工智能】大模型安全的深度剖析:DeepSeek漏洞分析与防护实践

本文深入分析DeepSeek的安全漏洞,包括数据存储
蒙娜丽宁·2025-05-05 09:11

代码审查流程改进方法

深度审查:聚焦逻辑正确性、安全漏洞、性能优化等核心问题,结合人工与工具交叉验证。二、分阶段与小批量工作模式小批量代码提交将
默然zxy·2025-05-05 08:04

什么是SSRF

文章目录1.SSRF漏洞1.1业务场景1.2代码demo1.3漏洞原理2.URISchema2.1示例对比2.2SSRF中常用URIschema3.漏洞利用(内网探测流程)3.1file://(探测内网存活主机
藤原千花的败北·2025-05-05 04:41

黑客网站学习

BUUCTF网址:https://buuoj.cn/challenges3、websec网址:http://www.websec.fr4、ringzeroctf这是一个国外的网站,包含代码审计、逆向分析、漏洞攻击
林代码er·2025-05-04 15:42

高防CDN如何兼顾防护以及加速

用户流失率上升7%(Google数据)成本悖论:传统方案将安全与加速分离,导致总成本增加65%2.鱼与熊掌兼得的3大技术难关graphTDA[安全防护]-->B{性能损耗}C[全球加速]-->D{安全漏洞
白山云北诗·2025-05-04 09:39

2024 全球网络黑客常用攻击方法 Top10_黑客直接攻击

潜伏在企业内部,为攻击者提供登陆凭证、漏洞情报,企业消息,资源详情的”特务人员“就是内鬼!有道是日防夜防家贼难防,网络犯罪分子”火力全开“使用各种攻击手段,投入大量资
2401_86950981·2025-05-04 04:35

Java 网络安全新技术:构建面向未来的防御体系

例如,Log4j2漏洞事件中,攻击者利用日志框架的JNDI注入漏洞实现远程代码执行,
琢磨先生David·2025-05-04 04:05

阿里云云机器被渗透了怎么办?

不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你
小蚁云安全9·2025-05-04 01:44

阿里云、云机器被渗透了怎么办?有什么好的办法?

不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你
xiaoyiandun·2025-05-04 01:44

Ubuntu被曝严重漏洞:切换系统语言+输入几行命令,就能获取root权限(仅支持ubuntu桌面版、提权)

这是GitHub安全研究员KevinBackhouse发现的一个Ubuntu系统大漏洞
墨痕诉清风·2025-05-04 01:42

Webug4.0靶场通关笔记10- 第14关链接注入

目录第14关链接注入1.打开靶场2.源码分析3.渗透实战(1)方法1:跳转外部网页(2)方法2:获取cookie4.漏洞防御本文通过《webug靶场第14关链接注入》来进行渗透实战。
mooyuan天天·2025-05-03 22:57

红队打点的思路与信息收集

打法近源攻击目的打法外联攻击目的打法公有云目的打法内网横向目的打法信息收集企业基础信息收集企业安全防护收集企业互联网资产信息工具指纹识别工具:Host碰撞工具:403bypass打点思路核心目的为权限落点区域做信息收集,收集企业边界区域的信息边界DMZ区(重点):漏洞
白初&·2025-05-03 21:49

从0到1——CTFer成长之路(三)

从0到1——CTFer成长之路(三)SSRF漏洞SSRFTraining命令执行漏洞死亡ping命令XSS的魔力XSS闯关web文件上传漏洞文件上传第二章web进阶SSRF漏洞SSRFTraining命令执行漏洞死亡
youngerll·2025-05-03 19:05

Python沙箱逃逸终极指南:安全漏洞分析和解决方案一网打尽

概要Python是一种强大而灵活的编程语言,但在某些情况下,可能需要运行不受信任的代码,同时又希望限制它的行为,以防止对系统的不良影响。这时,Python沙箱就成为一种有用的工具,它可以帮助你在安全的环境中运行不受信任的代码。本文将探讨Python沙箱的概念、常见的沙箱技术以及如何避免沙箱逃逸。什么是Python沙箱?Python沙箱是一个受限制的执行环境,允许您运行不受信任的Python代码,同
Rocky006·2025-05-03 13:52
上一页 9 10 11 12 13 14 15 16 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他