登录社区云,与社区用户共同成长
邀请您加入社区
CC攻击(Challenge Collapsar,挑战黑洞)是一种针对Web应用层的分布式拒绝服务攻击(DDoS),其核心原理是利用大量看似合法的HTTP请求耗尽目标服务器的应用层资源(如数据库连接、CPU、内存),导致正常用户无法访问。
提示词注入测试需覆盖“直接注入+敏感词绕过+间接注入”三类场景,即使部分手法看似已修复,仍需逐一验证(厂商修复可能不彻底或存在版本差异);LLM辅助RCE挖掘的核心是“利用LLM自适应能力迭代Payload”,需保证接口描述精准,同时结合传统漏洞挖掘思路(参数遍历、过滤规则试探)扩展测试维度;测试前需明确授权范围,避免违规操作;记录所有步骤和结果,便于复现分析;可补充输出风险测试(XSS/CSRF
测试行业周报摘要(2026-04-20) 自动化测试领域:MCP协议成为AI测试标准接口,Playwright生态涌现多个MCP集成项目。Ministry of Testing推出免费URL测试工具,开源项目q-ace-agentic-framework获关注,支持零代码AI测试流程构建。 性能测试趋势:k6 Studio正式发布GUI工具,配合K8s分布式压测方案,推动性能测试"左移&
众多客户反馈,天磊卫士服务 “专业度高、通过率稳、响应及时、解决问题高效”,无论是初创 AI 企业的垂类智能体备案,还是大型企业的复杂大模型合规,都能提供定制化解决方案。同时,备案过程中的安全检测与风险排查,可有效识别智能体的算法漏洞、内容违规、数据泄露等隐患,提升系统稳定性与安全性;凭借专业的技术能力与严谨的服务态度,天磊卫士累计服务 5000 + 企业客户,覆盖互联网、金融、教育、医疗、智能制
项目流日志事件日志目的输出调试信息记录关键事件日志内容流式日志(变量、流程、状态)事件驱动(操作、触发、状态变更)是否结构化否是(有统一格式)常见用途开发调试、流程追踪行为审计、插件生命周期记录是否需要单独封装否(封装意义不大)推荐封装为独立方法,便于统一管理是否常用于异常处理否否是否需线程安全否否实践建议流日志适用于快速调试和临时日志输出,适合开发者查看当前代码执行情况。事件日志适用于记录重要行
本文介绍了如何开发一个简单的BurpSuite插件,用于拦截和修改HTTP请求。
BurpSuite插件开发环境准备。
本文介绍了使用BurpSuite 2025 Montoya API开发HTTP请求/响应处理的插件方法。
本文摘要: 针对大语言模型(LLM)在电商场景中的幻觉和安全隐患,提出系统化测试方案。知识测试涵盖事实性(准确率)、推理(正确率)和幻觉检测(虚构问题编造率),实测显示未优化的模型幻觉率高达70%。安全测试聚焦四类攻击:有害内容、隐私泄露、Prompt注入和Jailbreak,关键发现包括:规则过滤对已知攻击拦截率100%,但需结合LLM检测应对变体攻击。交付物包含标准测试集(如30个事实问题、2
随着商业航天产业的快速发展,星载电子系统对数据通信接口芯片的抗辐照性能、传输可靠性及环境适应性提出了更为严苛的要求。RS-485/RS-422标准因其差分传输机制在抗共模干扰方面的固有优势,已成为航天器内部总线通信及工业现场网络的核心物理层协议之一。本文以厦门国科安芯科技有限公司自主研发的ASM491S2Y型商业航天级全双工高速RS-485/RS-422收发器为研究对象,系统梳理其电气特性、抗辐照
长度 + 周长:最长边 + 2×(宽 + 高),包裹上限 165in/4.19m细长件:最长边≥36in/910mm,另两边≤最长边 20%扁平件:最小边≤8in/200mm,次长边≥最小边 4 倍非刚性容器:薄瓦楞、收缩膜、软质材料等弱防护包装ISTA 3L 2023 是电商包装安全测试 + 质量验证的黄金标准,通过冲击、压缩、振动、环境、完整性五大模块,把运输风险前置到实验室,用科学试验替代事
2026年住建部全面推行城市体检新规,要求所有地级及以上城市和县级市必须完成住房、小区、街区、城区四维体检,实行"先体检后更新"刚性制度。中创云图推出"探地雷达+AI大模型+监测平台"三位一体解决方案,实现厘米级地下病害检测和三维可视化,已成功应用于西安雁塔区等项目,显著提升检测效率和精度。新政策将城市体检作为项目审批和资金拨付的前置条件,推动地下安全检测市
OpenVAS(Open Vulnerability Assessment System)是一个开源的漏洞扫描工具,用于检测网络上的安全漏洞。在Ubuntu系统上安装OpenVAS可以分为几个步骤,包括安装必要的依赖、安装OpenVAS及其组件,以及启动和管理OpenVAS服务。以下是在kali上安装OpenVAS的详细步骤
考虑到 ZIP 格式支持符号链接(Symbolic Link),如果后端没有安全处理 symlink,则可以通过 ZIP 内的符号链接读取服务器任意文件。读取 /app/y0u_found_it/secret.py,发现 secret = os.getenv("FLAG"),定位 Flag 来源。读取 /proc/self/environ(或 /proc/1/environ),在环境变量中直接获得
OneScan是一款面向BurpSuite的递归目录扫描插件,最初开发目的是批量挖掘隐藏Swagger接口文档,后续迭代新增敏感目录泄漏、未授权/越权自动化检测能力。原版 vaycore/OneScan(https://github.com/vaycore/OneScan):初代开源项目,作者停更,最高版本v1.7.0,纯Java开发、无额外环境依赖,仅保留基础目录扫描,无法解析JS动态渲染页面,
摘要: 技术团队常因密码管理混乱导致效率低下和安全风险。传统方案如自建系统成本高,通用密码管理器对开发场景支持不足。OpsTiny(opstiny.cn) 提供端到端加密的免费协作平台,集中管理服务器、数据库等开发资产,解决安全与效率问题。支持Windows/macOS,无需部署即可使用。其核心价值在于降低团队心智负担,避免明文传输风险,且无采购门槛。通过统一管理敏感信息,帮助团队减少时间浪费,提
AI伦理审查员是人工智能时代诞生的“数字守门人”和“道德质检员”,致力于确保AI产品的“善”与“安全”。在AI性能不断提升的同时,审查员为其装上“伦理刹车”和“安全护栏”,防止其对人类造成伤害、歧视或违法。针对AI可能出现的歧视、冒犯和偏见等问题,审查员负责在产品全生命周期内识别和整改这些“有毒”因素。其日常工作涵盖“红队”测试(主动攻击AI以寻找漏洞)、审计数据集以纠正偏差、制定将道德标准工程化
直接 getshell绕过上传校验,上传并解析PHP脚本,获取服务器控制权。文件篡改/劫持覆盖站点现有PHP文件,植入后门、篡改页面内容。通用高危不依赖特定CMS,凡Windows+PHP+黑名单上传场景均可能受影响。隐蔽性强无明显异常特征,常规日志难以发现。此漏洞是PHP与Windows系统特性冲突仅校验后缀≠安全,必须结合文件名净化、存储隔离、环境限制多重防护。该思路至今仍适用于Windows
在Web安全领域,CMS系统因部署广泛、代码开源,长期是漏洞挖掘的重点目标。Discuz!作为国内最主流的论坛程序,历史上暴露出大量高危漏洞。本文聚焦——Discuz!存在的Windows短文件名设计缺陷,该漏洞可直接导致数据库备份文件被非法下载、数据泄露,对理解文件路径安全、系统层特性利用具有极高学习价值。该漏洞属于无需登录、无需交互、一键利用数据泄露:直接拖库,获取全站核心数据权限提升:通过数
航天级微控制器的自主可控是保障国家航天信息安全的核心环节。本文以国科安芯AS32S601商业航天级MCU为典型案例,从技术架构选择、设计实现方法、生产制造流程、测试验证体系、认证标准符合性等多个维度,系统分析了该芯片的国产化技术路径。文章深入探讨了RISC-V开源架构在航天领域的应用优势与挑战,详细阐述了芯片的功能安全设计、抗辐照加固技术、多源异构接口集成等关键技术,并分析了该芯片在商业航天、高可
空间辐射环境对航天器电子系统构成严峻挑战,微控制器作为核心控制器件,其抗辐照性能直接决定任务可靠性。本文以国科安芯AS32S601商业航天级MCU为研究对象,系统梳理了该芯片所经历的单粒子效应试验(重离子、质子、脉冲激光)和总剂量效应试验的试验条件、测试方法与结果数据,深入分析了试验结果所揭示的器件辐射响应特性,并基于典型空间轨道辐射环境模型,评估了AS32S601在不同轨道高度的任务适应性,为航
随着Microsoft Copilot Studio、Salesforce Einstein、Google AI助手等企业级AI代理大规模落地,AI代理已承担邮件自动处理、客户支持、CRM对接、内部数据检索等核心业务。但BlackHat安全峰会研究团队证实:当前主流AI代理存在架构性安全缺陷,攻击者可通过零点击间接提示注入,完全劫持AI代理行为,窃取企业核心数据,且无需用户点击、确认、打开任何文件
OpenAI开源Privacy Filter模型引发AI数据隐私热议。燕千云ITSM平台通过信创适配底座、精细化权限管理和全链路加密技术,构建企业级数据安全防线。其特色包括:数据库表继承机制实现数据隔离、实时业务追踪日志、低代码快速扩展能力,并与人大金仓完成深度认证适配。
完成全链路校验,覆盖基础模板、seal_data 样例、脚手架生成项目三条链路,全部测试用例执行通过,证明 StarterKit 在工程模板、样例工程与新项目生成三个维度上,都具备稳定可靠的构建与签名能力。但在实际开发中:secGear 官方仅提供最小化 Demo 样例,缺少标准化工程模板、项目脚手架、自动化测试流程,开发者从零搭建机密应用门槛高、手动构建签名流程繁琐、无统一验证基线。:EDL 代
随着开源模型推理成本大幅下降,企业大规模接入的同时,数据安全、合规性、稳定性等问题逐渐凸显。闭源模型同样存在数据滥用、不可审计等风险。企业选型正从“拼价格”转向“拼信任”,需关注服务商是否具备SOC2等第三方审计认证,确保数据加密、可追溯及合规部署。建议企业优先选择提供透明安全报告、明确数据使用政策且支持审计的推理服务平台。
入射光准直角会通过光斑扩散改变象限电流,进而影响模拟式太阳敏感器的角度解算。真实太阳约为 32′,而地面太阳模拟器常见 1°–2° 准直角,二者差异会带来明显误差。把高准直光源、误差模型和补偿算法放在同一条测试链路里,才能真正提升地面验证的可信度。
本文面向:对 MCP 协议有基本了解、希望把它真正接到自己本地模型上的开发者。全文示例已在 Windows 11 + Python 3.11 + Ollama 0.5+ 环境下完整跑通。
OpsTiny是一款面向中小型技术团队的端到端加密协作密码管理工具,旨在解决服务器密码、数据库连接串等敏感资产分散管理的问题。它支持多种开发运维资产类型,采用团队共享访问模式,具备端到端加密安全机制,适用于5-50人的研发/运维团队。相比微信/Excel等传统方式更安全规范,相比Vault等重型方案更轻量易用。文章对比了OpsTiny与Bitwarden、1Password等工具的差异,并列出加密
为啥设process.query为null呢?回到chatbot.ts文件,要是bot值为null,机器人就没响应。所以我们先设它为null,又添加了新用户到数据库。这样既禁用了聊天机器人,还注册了自己的用户。以上就是这次分享的SSJI漏洞利用实战。对Node.js安全测试或聊天机器人漏洞挖掘感兴趣的话,强烈推荐用OS 2 Shop靶场练习,能在不破坏真实系统的情况下,学会服务器端代码注入技巧。原
机器学习(TensorFlow)、深度学习(PyTorch)、推荐系统开发,配套腾讯/百度AI项目。:互联网/金融/能源企业开发岗,平均薪资 **15-30K/月**。:游戏开发工程师、AR应用开发,薪资 **15-35K/月**。:安全服务工程师、渗透测试师,薪资 **12-25K/月**。:云计算工程师、架构师,平均薪资 **18-35K/月**。:算法工程师、AI产品经理,薪资 **20-4
标准名称:Standard Test Methods for Vibration Testing of Shipping Containers(运输集装箱振动测试标准方法)归口机构:ASTM D10 包装委员会 → D10.21 运输集装箱与系统子委员会发布 / 复审:2008 年制定,2015 年复审确认ASTM D999-08 (2015) 是运输集装箱振动测试的经典标准,通过往复冲击和共振测
电商包装安全密码:ISTA6A标准解析 针对电商运输破损问题,ISTA6A标准提供专业解决方案。这套由国际安全运输协会制定的标准,通过模拟搬运、堆叠、振动、冲击和跌落等真实运输场景测试包装性能。标准诞生源于电商运输链路的复杂性,能有效降低陶瓷、玻璃等易碎品的破损率。实施该标准虽面临测试复杂和成本平衡等挑战,但通过专业机构合作和材料优化可解决。遵循ISTA6A不仅能提升用户体验、降低成本,未来还将向
本文总结了Web应用安全测试中的关键漏洞及防护建议。认证授权方面需防范JWT密钥泄露、认证绕过和密码重置漏洞;访问控制需重点检查BAC和IDOR漏洞;业务逻辑漏洞包括优惠券滥用、库存操控等问题;前端侦查可能暴露敏感信息。此外还需防范XSS、配置错误等问题。测试建议强调操作验证、前后端一致性检查及敏感操作重放测试,特别提醒要交叉验证权限假设与实际执行情况。
安全性测试
——安全性测试
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net
openEuler 社区
智能体开发者社区
MCP技术社区
AtomGit开源社区
AI硬件创业社区
快递鸟社区
AI Agent技术社区
脑启社区
