登录社区云,与社区用户共同成长
邀请您加入社区
渗透测试与入侵的核心区别在于目的:渗透测试以安全评估为目标,通过模拟攻击发现系统漏洞,最终提升系统防护;入侵则以非法获取权限或敏感信息为目的,可能采取破坏性手段。渗透测试标准流程包括:1.明确测试范围、规则和需求;2.信息收集(系统架构、应用版本等);3.漏洞探测(使用扫描工具或公开漏洞库)。整个过程需严格遵循授权范围,区别于恶意入侵行为。
2026年网络安全行业仍处于黄金发展期,市场需求持续爆发,产业规模预计突破2500亿元。政策法规驱动和数字化转型催生全域化安全需求,金融、能源、AI等领域面临新型威胁。就业市场人才缺口达480万,薪资水平高于IT行业平均水平,云安全、AI安全等细分领域需求增长迅猛。AI技术重塑攻防体系,既带来新型威胁也赋能防御能力升级。行业对从业者要求提高,需掌握新兴技术并持续学习。建议新人聚焦细分领域、夯实实战
网络安全是通过技术、流程和策略保护计算机系统、网络和数据免受攻击、破坏或泄露的领域。其核心是多层防御体系,涵盖人员培训、基础设施、漏洞管理和技术防护。对企业而言,网络安全至关重要,IBM报告显示数据泄露平均成本达435万美元。常见威胁包括恶意软件、网络钓鱼、SQL注入等11种攻击方式。未来趋势包括勒索软件专业化、供应链攻击增多及AI技术的应用。个人和企业可采取开启双因素认证、使用密码管理器等措施提
2026年多账号运营必备:指纹浏览器选购指南 随着平台风控AI化升级,浏览器指纹检测成为账号运营的"致命雷区"。本文针对2026年市场环境,提出指纹浏览器选购四大核心标准:底层隔离彻底性、运行流畅度、业务适配性和长期成本考量。重点测评了10款主流产品,包括比特浏览器(批量运营首选)、AdsPower(新手友好)、Multilogin(高端安全)等,分析其优劣势及适用场景。同时提
Foundation AI推出网络安全推理大模型,8B参数竞争70B模型性能
过去几年,数字经济蓬勃发展,已成为全球经济增长的驱动力。然而,网络安全成为其最大的挑战。为了确保数字经济的可持续发展,人工智能被认为是至关重要的技术手段。第五届网络安全、人工智能与数字经济国际学术会议(CSAIDE 2026)由西班牙萨拉曼卡大学主办,将于2026年3月13日至15日在西班牙·萨拉曼卡举行。本次会议的核心是认识到人工智能和网络安全对数字经济的深远影响。会议旨在汇集领先的学术科学家、
未来,史宾格AI隐私合规检测助手将继续深耕AI隐私安全领域,持续迭代其核心算法与产品功能,以更精准的“智能检测”、更懂业务的“智能问答”和更高效的“智能治理”,携手检测机构及广大企业,共同构建一个更加安全、透明、可信的移动互联网生态环境。更值得一提的是,结合深度学习图像识别和自然语言理解技术,史宾格具备了运行时实时识别APP业务场景的能力,能够智能引导APP遍历,有效触达各种隐私敏感场景,从而触发
本文介绍了手游漏洞挖掘的基本方法,通过Cheat Engine工具绕过游戏反外挂检测,实现道具数量修改、人物ID查找等操作。文章指出目前游戏安全防护主要分为加密加固和服务端修复两种方式,但加密方式仅能增加攻击成本,无法从根本上解决漏洞问题。作者通过实例演示了如何利用内存修改技术挖掘游戏漏洞,包括修改道具数量为负数、查找隐藏人物ID等,并强调了合法测试的重要性。最后建议从有SRC的游戏业务入手,多实
业务安全是指确保企业业务流程中数据、交易、用户信息及资产免受未经授权访问、篡改、泄露或中断的能力,以维护业务连续性、数据完整性和客户信任。业务安全场景描述垃圾注册:通过囤积、购买虚假信息的形式恶意注册批量账号营销反作弊:基于营销活动的漏斗,骗取平台的活动奖励虚假认证:利用非本人身份信息,恶意骗过平台账号的身份认证环节信贷风险:骗贷、伪冒申贷、恶意逾期;逾期、欠款业务痛点线上页面存在被恶意攻击的风险
人工的隐私合规检测,因为隐私合规性,这一块内容,需要对照应用本身的业务,隐私政策来解读,单靠机器自动化的检测,内容具有专业性,机器出的报告,客户也不一定能完全解读的了,所以推出这个人工检测来解决客户 APP 的合规问题,主要流程比起自动化模式,机器检测后,会多一个人工复核的这个过程,对应用运行过程中的个人隐私信息获取、权限获取是否规范进行人工研判分析,并结合自动化检测数据,最后是出具人工检测报告。
本文介绍了手游漏洞挖掘的基本方法,通过案例演示了如何利用Cheat Engine内存修改器绕过游戏反外挂检测。文章分析了当前游戏防外挂服务的两种主要类型:加密加固和漏洞修复,并指出加密方式并不能从根本上解决漏洞问题。作者详细讲解了使用内存修改器测试游戏漏洞的步骤,包括修改道具数量、查找人物ID等操作,并强调测试需遵守法律规范。最后建议通过多测试游戏SRC来提升漏洞挖掘能力,并推荐了相关学习资源。文
营销反作弊方法,附带python代码
本文将围绕市面上主流的8款敏感词内容检测工具,从功能、性能和适用场景等多角度出发,助您精准选择最适合企业需求的产品。
大模型,正以前所未有的创造力,重塑数字世界的边界。12月20日,「创造未来,安全同行」北京站·第九期“度安讲”技术沙龙成功举办,本次沙龙聚焦多模态、终端大模型内容安全、数据安全与合规等前沿领域的安全议题,来自百度安全、vivo、中国联通、复旦大学等行业领军专家共聚一堂,围绕防护机制、评测体系、落地实践等维度进行分享,旨在携手各界生态合作伙伴,为大模型的平稳健康发展,提供一套且是可行的思路与方案。第
生成式AI对网络安全的冲击,本质上是攻防技术的“智能代差”问题。传统被动防护体系已无法应对AI驱动的新型攻击,云防护技术必须以“原生适配+智能对抗+全栈防护”为核心,通过AI能力赋能,构建比攻击更快速、更精准、更具适应性的防御体系。
摘要:GraphQL批量查询滥用是一种通过构造复杂查询耗尽服务器资源的攻击方式。其根源在于GraphQL客户端驱动的查询机制和缺乏默认复杂度限制,攻击者可利用单次请求触发解析器爆炸性执行,导致CPU、内存或数据库过载。防御需结合查询成本分析、深度限制和异常监控。测试时可利用DVGA靶场和Altair、GraphQLmap等工具进行手动与自动化探测,通过自省查询获取Schema信息并构造恶意载荷验证
摘要: 电脑任务栏闪退是常见问题,可能由系统异常(断电、文件损坏)、内存不足、更新冲突或设置错误导致。解决方法包括:1)使用sfc/scannow命令修复系统文件;2)通过任务管理器释放内存或升级硬件;3)回滚不兼容的系统更新;4)重置任务栏设置。若自行修复困难,可借助《Windows系统修复大师》或《Windows电脑医生》等DLL修复工具,自动扫描并修复缺失文件。建议优先尝试基础排查,复杂问题
本次比赛题目整体难度较低,前两阶段题目可快速AK,第三阶段Web题略有挑战。比赛亮点在于《AI安全与可信性》模块,涉及越狱翻译官、幻觉诱导等创新题型,展现了AI安全领域的新思路。其他题目类型包括:逆向工程(SecureGate)、格式化字符串漏洞(talisman)、密码学(BrokenGallery)、流量分析等基础题型。比赛反映出部分题目设计过于简单,建议未来加强题目质量把控,平衡难度梯度。最
专为游戏、金融、社交直播等平台APP研发的安全解决方案,并有效抵御各类流量攻击及防运营商屏蔽\DNS劫持
本文详细介绍了OpenSSL加密套件的配置与优化实践,涵盖TLS协议选择、性能调优及安全加固。通过实战案例解析如何平衡安全性与兼容性,特别推荐使用ECDHE和AES_GCM套件提升性能,适合开发者和运维人员快速掌握OpenSSL加密技术。
CVE-2026-22686作为2026年AI代码执行领域的首个满分高危漏洞,为所有依赖沙箱实现不可信代码隔离的业务敲响了警钟。该漏洞的出现,不仅暴露了enclave-vm在沙箱设计中的经典缺陷,更折射出AI时代代码执行安全面临的全新挑战。在大语言模型、AI代理大规模落地的背景下,沙箱作为隔离不可信代码的核心工具,其安全性不再是单一的技术问题,而是涉及设计、部署、防御、运维的全体系问题。
工业仿真涉及国防、航空航天、汽车等关键领域,其数据关乎产品研发等核心商业机密。云计算虽可提供弹性算力,但虚拟化架构的网络通信瓶颈等,难以满足高保密场景需求。在此背景下,“安全超算”应运而生,通过物理隔离、全链路加密与多重管控,构建起高性能仿真的“数字护城河”。
近期,安全狗和中国电子信息产业集团所属中电算力科技应用(宁夏)有限公司签署战略合作协议。经过与多家安全厂商的安全能力全面比对,同时安全狗系列云安全产品接受了多轮的严格测试,最终凭借综合且突出的产品矩阵与能力被选为此项目的合作安全厂商。双方依托各自优势,携手共建西部网信产业基地,为国家“东数西算”战略布局添砖加瓦。安全狗成立于2013年,自成立以来就致力于提供云安全领域相关产品、服务及解决方案,是国
企业从Windows/Linux到AI服务器的多终端统一安全防护,并非简单的“工具叠加”,而是架构重构、理念升级,核心是打破异构终端的安全隔离壁垒,以统一管控为底座,以分层防护为核心,以数据安全为根本,以持续运营为保障,实现全域、全链路、全生命周期的安全防护。在AI时代,企业的安全防护体系必须适配AI服务器的特殊特性,补齐AI安全的空白,同时兼顾传统终端/服务器的防护基础。
10万行级项目的AI代码迁移重构安全,核心不是“靠AI找漏洞”,而是“让AI不生成漏洞,同时规避历史和兼容漏洞”,其本质是建立**“安全左移、全流程管控、AI与人协同”**的安全体系。事前做足准备:盘点资产、分级风险、校准AI,让AI“先懂安全再写代码”;事中闭环实施:分模块、三层校验AI代码,让漏洞在模块内被解决,不积累;事后全量验证:全链路测试、漏洞复盘、体系加固,让系统整体安全合规。
摘要: 云原生技术通过容器化与编排架构支持大模型弹性部署,但大模型的高参数量、强算力依赖等特性带来独特安全风险,涉及镜像供应链、运行时、数据、模型资产等维度,且防护措施易与性能需求冲突。本文提出分层防御体系:镜像层瘦身扫描、运行时最小权限隔离、编排层K8s加固、数据端到端加密、模型文件加密签名,兼顾安全与效率,形成可落地的云原生AI安全方案。
(5)需求5:用户希望提供针对特定平台的优化字体包(如包含完整字重家族的Kindle专用包)或详细的安装指南,以解决特定设备(如Kindle、Boox、Pocketbook、iPhone等)的兼容性问题。(4)需求4:用户希望优化字体在不同设备和阅读软件(特别是某些型号的电子阅读器和特定软件)上的显示效果,例如调整加粗与常规部分的对比度,以及修复在某些上下文中的加粗规则错误。(3)需求3:用户希望
本文仅用于合法技术研究,禁止非法用途。Pwn036 核心是栈溢出经典的 Ret2Text 利用,程序保护极弱,无栈哨兵、关闭 PIE 且 NX 禁用,代码段地址固定。main 函数调用的 ctfshow 函数含 gets 高危漏洞,缓冲区仅 40 字节,填充 44 字节可覆盖返回地址。程序隐藏未调用的 get_flag 后门函数,可直接读取打印 Flag。构造 payload 为 44 字节垃圾数
无意间在GitHub上发现的这个有着将近7K星星的网络安全人工智能(CAI),人工智能安全框架。里面的功能挺完全的,支持世面上大部分的API,同时也支持本地部署。主要的模式可以分成三个:Red Team Agent、Bug Bounty Hunter、Blue Team AgentCAI的地址:https://github.com/aliasrobotics/cai在论文里面都有介绍,并且也有相关
摘要:本文对比了OSI七层模型与TCP/IP四层模型的对应关系,重点分析了TCP(可靠连接)和UDP(无连接)协议特性。详细介绍了三种DDoS攻击类型:SYN洪水攻击(利用TCP三次握手漏洞)、UDP洪水攻击(发送垃圾数据包)和ICMP洪水攻击(耗尽服务器资源)。同时解析了hping3工具的参数配置及典型攻击命令,包括模拟SYN洪水攻击的具体实现方法。文章还指出hping3兼具攻击模拟和合法网络测
本文系统介绍了访问控制列表(ACL)的技术要点。主要内容包括:1)ACL的分类,基本ACL(2000-2999)仅匹配源IP,高级ACL(3000-3999)可匹配协议、端口等更多字段;2)ACL的部署原则,基本ACL应靠近目标端,高级ACL应靠近源端;3)ACL的应用场景,包括流量过滤(Traffic-Filter)、NAT转换和策略路由,不同场景下ACL的匹配逻辑存在差异;4)常见协议号及其应
在Windows系统中,使用attrib命令实现文件隐藏,通过ShadowUser工具创建隐藏zhan号,并演示了远程桌面连接和权限维持方法(注册表启动项、粘滞键后men)。Linux系统则展示了历史命令和文件权限的隐藏ji巧。此外,介绍了Neo-reGeorg、Chisel和CS的socks5代理工具的使用方法,包括正向/反向隧道连接和全局dai理设置。涉及文件隐藏、账号ke隆、权限维持和内网c
Matlab实现RBF径向基神经网络多变量回归预测可有偿替换数据及其他服务。所以程序经过验证,保证有效运行。1.data为数据集,7个输入特征,1个输出特征。2.MainRBFR.m为主程序文件。3.命令窗口输出MAE和R2。最近在研究多变量回归预测问题时,发现RBF径向基神经网络有着不错的表现,今天就来分享下如何用Matlab实现它。
在数字化渗透至社会经济每一个毛细血管的今天,网络信息安全已从 “辅助保障环节” 升级为 “核心生产力要素”。从企业用户数据泄露引发的品牌危机,到关键信息基础设施遭受的网络攻击,再到 AIGC、区块链等新技术催生的新型安全风险,网络信息安全工程师作为 “数字世界守门人” 的角色,其重要性在 2026 年迎来前所未有的凸显。
它并非“安全银弹”,其设计上的安全假设、复杂的编译工具链、以及与宿主环境(如浏览器、WASI)的交互,引入了诸如模块篡改、内存破坏、沙箱逃逸等一系列新型风险。更重要的是,这份“说明书”在执行前会经过严格的安全检查(如类型验证、内存范围检查),确保它不会让机器人去抓取不存在的积木块(内存安全),也不会指示机器人破坏房间其他部分(沙箱隔离)。—— 是的,在“知识体系连接”部分明确了与前序(Web客户端
生成式AI进入工业化落地阶段,云智融合成为关键趋势。云计算通过弹性算力、分布式存储和云原生架构三大核心能力,支撑大模型全生命周期需求;同时大模型推动云计算向"智能即服务"升级。云智融合架构针对训练和推理场景分别设计:训练阶段侧重分布式高吞吐架构,推理阶段采用弹性轻量化部署。大模型原生应用开发需遵循可扩展、高可用、低成本、云智协同准则,通过需求拆解、模型选型、资源匹配等全流程实践
此次NVIDIA CUDA Toolkit曝出的4个高危漏洞,不仅对当前依赖CUDA的业务系统构成严重安全威胁,更为整个行业敲响了基础组件安全的警钟。在AI计算时代,核心基础组件的安全,是业务安全、数据安全的前提,企业必须摒弃“重业务、轻安全”“重功能、轻防护”的思维,从紧急修复到主动防护,从单点管控到全生命周期体系化建设,筑牢CUDA及类似核心计算组件的安全防线。当前,最紧迫的任务是立即完成CU
网络空间的攻防对抗已进入智能化时代,人工智能技术成为网络安全防护的核心驱动力。AI赋能流量攻防智能研判系统的构建,打破了传统流量防护体系的技术壁垒与数据孤岛,实现了从“被动告警”到“主动感知、精准研判、自动化处置、弹性适配”的全面升级,为企业网络安全防护提供了全新的解决方案。在未来的网络攻防对抗中,人工智能技术将持续迭代,网络攻击手段也将日益复杂,流量攻防智能研判系统将以“持续进化、全域协同、安全
2025年全球网络安全领域交出了一组极具反差的核心数据:MITRE官方CVE数据库统计显示全年新增漏洞约48185个,逼近5万大关,创历史总量新高;而VulnCheck监测数据显示,全年公开确认存在在野利用的已知被利用漏洞(KEV)仅884个,占比不足2%。看似极低的漏洞利用率,实则掩盖了网络攻防战场的核心变革——攻击者已摒弃“广撒网”模式,转向精准化、高速化、隐蔽化的精准打击,零日漏洞利用、AI
Proton CTO 的道歉中有一句话值得玩味:「」(事情会发生,尤其是在规模化时)。这句话既是对现状的承认,也是一种微妙的辩解。当公司规模扩大,系统复杂度增加,「错误」似乎变得不可避免。付费用户是否应该为公司的「规模化问题」买单?在 Hacker News 的讨论中,一位用户写道:常规渠道永远在踢皮球,唯有公开处刑才能换来一句人话。这哪是技术故障,分明是组织对付费用户的系统性傲慢。另一位用户则更
攻击者利用此漏洞,通过精心编排的高并发请求,可能实现“一券多用”、“零元购”、超额充值或越权数据篡改,直接造成业务逻辑的崩塌与实质的经济损失。它允许我们以极低的延迟、极高的并发度和精确的时间控制,模拟出真实的竞争条件攻击场景,从而将理论上的并发漏洞,转化为可稳定复现、可武器化的攻击链。图注:此Mermaid时序图清晰地展示了漏洞发生的核心——“检查”与“使用”之间的时间窗口被另一个请求的“检查”动
微软VS Code商店曝出恶意扩展攻击事件,AI工具成钓鱼新载体 2026年1月27日,微软VS Code应用商店出现名为ClawdBot Agent的恶意扩展,仿冒热门AI编程工具Clawdbot,通过名称抢注、功能伪装和界面仿冒诱导开发者安装。该扩展集成真实AI服务掩盖恶意行为,并采用多阶段攻击链:自动激活后远程拉取木马,劫持合法远程控制工具ScreenConnect,通过DLL侧载实现隐蔽执
语义链式越狱攻击的出现,并非偶然,而是AI模型能力快速升级与安全防护体系发展滞后之间“剪刀差”的必然结果。当前多模态AI模型的多轮对话能力、跨模态理解能力、推理组合能力已实现跨越式发展,而安全防护体系仍停留在“单轮检测、模态隔离”的传统阶段,这种发展的不平衡,为新型攻击手段的出现提供了空间。此次Grok 4、Gemini Nano等主流模型的安全防线告破,为整个AI行业敲响了警钟:AI模型的发展,
攻击面管理正从静态边界防御向动态免疫体系演进,通过SASE整合、零信任深化和AI智能体协同,构建能够适应业务变化、感知生态风险的韧性安全能力。
输入1' and sleep(3)--+,响应时间为3秒,存在时间盲注。User-Agent/Referer注入(Less 18-19)POST报错注入(Less 13-14, 17)场景1:GET联合查询注入(Less 1-4)场景1:GET联合查询注入(Less 1-4)场景4:POST注入(Less 11-17)场景2:GET报错注入(Less 5-7)3. 测试注释符是否可用。场景3:GE
算法备案怎么办?找谁办?什么时候办?要办多久?要多少钱?一些列问题都让人感到迷茫和压力。
2025年我国网络安全合规体系迎来重大变革,十大新政策围绕"AI入法、责任加码、治理精细化"三大核心,推动行业向主动防御、精准治理和生态共治转型。政策亮点包括:建立四级处罚梯度(最高罚款1000万元)、完善跨境数据"三路径"管理、强化AI算法备案和内容标识要求、实施差异化监管(大型平台需设独立监督委员会)。新规首次将关基保护、AI监管等纳入法律框架,形成&q
确定自己的算法是否属于需要备案的范畴。例如,监管部门要求对算法的公平性评估进行补充说明,要及时提供详细的公平性测试方法和结果等材料。例如,在进行数据共享和传输时,要进行脱敏处理,去除用户的可识别信息,如姓名、身份证号等,同时遵守隐私政策,确保用户对数据使用有知情权和选择权。监管机构会针对算法备案工作出台具体的操作指南,包括备案流程、材料清单等内容,及时掌握这些动态信息可以确保备案工作符合最新要求。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。更扎心的是,即便找到工作,也常常是“零工经济”模式——公司有等保测评、渗透测试、应急响应需求时,才临时找外包。深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级
网络安全
——网络安全
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net
2048 AI社区
网易易盾开发者社区
昇腾开源生态专区
深开鸿 技术专区
九章云极普惠算力
开源鸿蒙跨平台开发者社区
DAMO开发者矩阵
