登录社区云,与社区用户共同成长
邀请您加入社区
软测小王子四川·成都更新于2025-01-18网络攻击重心转向应用层,75%的攻击都是针对WEB应用的,WEB渗透测试的重点是SQL注入,JAVA语言不容易进行SQL注入的原因是JAVA采用预编译规则使用JDBC针对用户的输入数据进行处理,保证用户的输入只能作为数据参数传递而不会直接进行SQL语句的拼接。弱口令攻击、配置缺陷、应用漏洞、SQL注入、XSS、CSRF等等。Ddos攻击、远程溢出攻击、
本文介绍了CTF题目中两个重要知识点:1) robots.txt文件的作用及可能暴露的风险,通过实例演示如何利用该文件发现隐藏页面;2) PHPSource文件(index.phps)的作用,以及URL二次编码的绕过技术。文章以攻防世界的两道题目为例,展示了如何通过分析robots.txt发现fl0g.php,以及如何通过双重URL编码绕过防护机制访问admin页面,揭示了网站安全防护中可能存在的
本文介绍了在Pikachu靶场环境下,利用垂直越权漏洞实施CSRF攻击的技术方法。通过编写恶意HTML页面,伪装成登录界面,实则隐藏了用户删除操作的请求链接。当受害者访问该页面时,会触发删除操作,同时跳转到错误页面以掩盖攻击行为。文章还提出更隐蔽的攻击方式:在报错页面中嵌入JS代码,实现用户无需任何操作即可中招。这种攻击方式不仅限于删除操作,还可扩展至转账等更危险的恶意行为,展示了CSRF攻击的危
网络安全大模型应用效果显著。测试显示,AI态势感知告警降噪率达92%,关联分析能力远超传统平台,可自动生成处置建议。在大模型辅助下,安全事件处置效率显著提升,支持自然语言交互。但当前仍存在偶发误判、复杂场景置信度下降等问题,需与专家经验形成闭环。总体而言,大模型作为智能副驾"有效提升了安全运营效率,未来人机协同将成为主流方向。
深层访谈),将模糊的客户需求转化为精准、可行动的洞察。从统御外部环境、组织结构与人性动力的经营模型奠基,到以客户为圭臬的管理模型定向,再到贯通战略与执行的框架模型铺路,直至聚焦价值创造、运营效率与生产精进的多层次价值模型驱动——这六大模块环环相扣,共同编织出企业韧性成长的核心逻辑。这52个节点并非固定数字,而是强调对核心价值活动及其衔接点的深度把控,通常跨越主要活动(如市场洞察、研发设计、采购供应
字典爆破得到username:adminpassword:123456无需输入验证码,直接登录。接下来就好办了,直接F12+F1,禁用JavaScript,绕过验证码验证。又是一个验证码绕过,ctrl+U查看源码,发现验证码的验证是在前端。剩余步骤同第一篇文章—
BP抓包,发送到repeater,看到错误的username、password和验证码回显显示验证码输入错误。修改验证码的值,重新发送渲染,回显看到username和password错误。那么接下来就简单了,发送到intruder进行字典爆破(详情见上一篇文章。经过上述观察验证,可以得到,只有当页面刷新时,验证码才会刷新。验证码不变,输入后,login success。爆破得到username:a
RAG是通过把本地知识库检索结果和用户的交互信息,一同提交给大模型,由大模型再次加工后,形成最终结果的一个过程。RAG是最简单的使用大模型为我们工作的模式,有着广泛的应用,例如,让大模型成为我们专业领域的客服,让大模型根据我们专业领域知识产生文档等。本文手把手教你用langchain4j编写一个最简单的RAG。STEP4: 编写具体的RAG过程代码RAG过程需要一个大模型调用,以及本地知识库检索内
攻击者利用AI技术(如基于GPT-4的恶意脚本生成器)发起高效、精准的网络攻击,例如某电商平台遭遇的20万次自动化抢购请求,标志着网络安全进入AI对抗AI的“智械时代”。AI生成的攻击载荷(如XSS)绕过传统防御的成功率高达73%,且可批量生成数万种变体,实现“饱和攻击”。
本文系统梳理了大模型面临的安全与隐私威胁,包括常规安全威胁(对抗样本攻击、后门攻击、投毒攻击)和新型安全威胁(内容安全问题、恶意使用风险、资源消耗攻击等)。同时分析了数据隐私风险(成员推断、数据提取等)和知识产权威胁(模型萃取、提示词窃取)。针对这些威胁,提出了包括对抗训练、数据清洗、差分隐私等在内的多层次防御体系,强调需要技术、法规等多角度协同应对。随着攻击手段不断演进,防御措施也需持续更新完善
根据自身设备版本选择下载64位或32位,下载时记得下载于一个独立文件夹(方便后面找寻修改文件)
这是最近我经常收到的两个大家对于大模型训练和数据集构建的问题。微调后效果不佳,大概率还是数据集本身质量或者丰富度的问题。而在有限的数据下,如何构造出更丰富的数据集呢?今天我就跟大家来介绍一种数据集增强的新思路,以及如何在中基于这种思路来构建更丰富的高质量数据集。当前,大模型的训练高度依赖训练数据的规模与质量,但现实往往面临着两大矛盾:字节跳动 Seed 团队最近发表了一篇论文:《》其中提出了一种新
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。聊完宏观的,我们再
提示词注入攻击是指攻击者通过精心构造的输入,来“劫持”或“覆盖”大语言模型原本的预设指令和系统提示,从而操纵模型执行非预期操作、泄露敏感信息或产生有害内容的一种攻击方式。一个核心比喻:这类似于对AI进行催眠或精神控制。你给了AI一个核心人格和任务(系统提示),但攻击者通过输入一段“咒语”(恶意提示),让AI暂时“忘记”自己的身份,转而服从攻击者的命令。提示词注入攻击揭露了当前基于大语言模型AI系统
本文通过分析Kamailio中MySQL函数调用链路,验证了其SQL注入防护机制。研究发现,Kamailio封装的MySQL操作底层调用了官方安全API mysql_real_escape_string进行参数转义,有效防止SQL注入。测试表明,注入尝试中的特殊字符会被正确转义为普通字符串,而非SQL语句的一部分。因此,Kamailio脚本中的MySQL操作是安全的,不存在SQL注入风险。这与Re
VGA线,光通讯
本文推荐四种国内可用网络靶场及部署方案:1)春秋云境(在线免安装,350+CVE漏洞);2)LingJing灵境(本地集成44套靶机);3)墨者学院(混合模式);4)Pikachu(经典Web漏洞靶场)。详细提供Docker部署流程,包括镜像加速配置和Vulhub靶场启动方法。对比分析各靶场特点:春秋云境适合新手快速入门,LingJing适合内网渗透演练,Vulhub适合漏洞复现研究。文末附常见问
所以,直接发送到intruder,payload username password 和 token,选择pitchfork爆破,前两个集采用正常字典爆破,先随便输入username和password,bp抓包,发现源码里面有token,重复两次提交后回显error,说明token的值是不断刷新的。第三个集要爆破token的值,现在我们先来到设置,下滑找到 检索-提取,点击添加,重新获取响应,找到
也可以从网上寻找汉化破解等版本。
网络靶场(Cyber Range)是一种基于虚拟化和仿真技术的网络安全训练与测试平台,通过模拟真实网络环境和业务场景,为攻防演练、漏洞验证、安全测试和人才培养提供安全可控的实验空间。网络靶场为在线系统提供持久化安全性测试环境,解决生产系统无法实时测试新安全事件的问题(参考知识库[1])。通过高仿真网络环境,反复测试攻防工具和方法,优化技术效果(例如漏洞利用脚本、防御策略)。为网络安全人员提供自主学
pikachu靶场通关秘籍 史上最全详细教程 皮卡丘~~~皮卡~皮卡~是一篇详细讲解Web安全漏洞实战的教程,涵盖暴力破解、XSS、SQL注入、文件包含等十余种常见漏洞类型。文章以Pikachu靶场为实验环境,通过"漏洞原理+实操演示"的方式,逐步分析每种漏洞的利用方法
ollama支持导入Safetensors与GGUF两种格式的本地模型导入,还支持对模型进行量化与自定义提示词。本地开发与测试: 开发者可在个人电脑上离线运行、调试和微调开源大模型(如LLaMA系列、Mistral等),无需依赖云端API,提升效率并保护隐私。私有化部署: 适用于对数据安全要求高的场景(如金融、医疗、企业内部),将模型完全部署在本地服务器或私有云,确保敏感数据不出本地。定制化模型应
随着电商、短视频、直播内容平台的迅猛发展,推荐算法已经成为互联网最重要的内容分发方式之一。我们每天看到的商品推荐、视频推送、新闻资讯,其实都是一套复杂算法在后台动态计算的结果。然而,推荐系统并不是绝对安全的,它也可能被攻击、操纵,甚至被黑灰产利用来获利。为了系统梳理这一领域的发展与挑战,长安大学数据科学与人工智能学院网络空间安全研究中心在国际顶级期刊 TKDE(中科院一区TOP、CCF A) 上发
随着数字时代的到来,网络安全和人工智能成了科技创新产业的重要组成部分。也逐渐成了大多数人心中热门的行业选择。那么该如何抉择呢?
更令人担忧的是,攻击者正利用人工智能生成内容(AIGC)、国际化域名(IDN)混淆、同形异义字符(Homograph)等高级技术,使钓鱼域名愈发难以识别。红队(攻击方):由授权安全团队模拟高级持续性钓鱼攻击者,使用合法工具(如 dnstwist、PhishKit 等)生成并部署钓鱼域名,目标是绕过蓝队监测体系,诱导模拟用户提交凭证。dnstwist 的核心优势在于主动发现能力——它不依赖已有黑名单
在这个万物皆Agent的时代,谁掌握了Agent的安全,谁就掌握了基础设施的防御纵深。:部署在终端(服务器、PC、IoT设备)上,常驻运行,代表某个中央控制系统(管理平台、安全服务器、云控制平面)执行任务的软件进程。:系统监控Agent、配置管理Agent、备份Agent、安全软件Agent、云原生Sidecar、AI Agent执行环境。:修改Agent的配置文件,改变其行为(如指向恶意的C2服
2024年11月,黑客组织Scattered Lapsus$ Hunters通过供应链攻击入侵第三方服务商Gainsight,利用OAuth令牌渗透Salesforce系统,导致200多家企业数据面临泄露风险。事件暴露出SaaS生态三大安全短板:第三方集成的权限失控、身份认证管理缺陷和责任边界模糊。分析显示,攻击者利用OAuth令牌长期有效性和跨平台信任传递特性,通过社会工程学获取初始权限后实施链
摘要: 随着自动化攻击工具和AI Agent的快速发展,传统人工攻防演练模式已无法应对现代网络安全挑战。Coze作为无代码/低代码AI智能体开发平台,通过可视化工作流、丰富插件生态和AI协同能力,显著降低网络安全领域的入门门槛。本文详细解析如何利用Coze构建覆盖“信息收集-漏洞扫描-漏洞利用-权限提升-痕迹清理-报告生成”全流程的自动化攻防工具链,并对比传统工具链在技术门槛、智能水平、协同能力等
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主
中国信通院发布《国际AI+抗DDoS攻击产品研究分析报告(2025年)》,揭示了AI技术对DDoS防御体系的革新。报告指出,2025年全球DDoS攻击峰值突破3.5Tbps,AI驱动的攻击使防御成本达攻击成本的3000倍。报告提出"预判-清洗-响应-加固"四维防御体系,通过AI预判引擎、智能流量清洗等技术实现主动防御。全球市场竞争呈现差异化:国际厂商侧重全球化协同,国内厂商深耕
LLMs的安全攻防是一场“道高一尺,魔高一丈”的持续博弈,攻击者的手段不断迭代,防御策略也需动态优化。企业和开发者在享受LLMs带来的效率提升时,必须重视安全建设——从源头规范训练数据和系统指令,事中强化实时检测与拦截,事后快速响应与迭代优化,同时结合合规要求和业务场景,构建“技术+管理”的双重防护体系。只有将安全融入LLMs应用的全生命周期,才能在发挥技术价值的同时,有效规避安全风险,推动大模型
5、掌握Weblogic安装方法、配置方法、基线检查方法、系统加固方法,以及常见漏洞。2、掌握Apache安装方法、配置方法、基线检查方法、系统加固方法,以及常见漏洞。4、掌握Tomcat安装方法、配置方法、基线检查方法、系统加固方法,以及常见漏洞。3、掌握Nginx安装方法、配置方法、基线检查方法、系统加固方法,以及常见漏洞。9、具备安全运维工程师的必备技能,掌握各类Web服务器常见的漏洞,1、
会显示出该进程名包含的所有线程。
很多人学习一个新事物都是从整体到局部这个节奏进行的,如果你想学习网络,首先你要知道网络基础的整体框架是什么样的。有了框架,就需要细节填充。我们账号里的所有技术文章都可以算在细节填充的范围内,但对刚入行的小白来说,的确还是比较吃力的,所以今天给大家分享一下这篇文章。这篇文章汇集了网工所需的技术术语合集,包含了网络基础、运维基础和安全基础三大部分。不管心态如何变化,技术依旧是自己手里最有力的武器。私信
Deepseek辅助渗透测试(半自动化)
体主浙工大毕业一年,在杭州某公司做了一年运维,目前年薪在14w左右,感觉在公司内部运维这个岗位没有前景,想转型开发,应该往哪个语言方向转,前景如何,路线是怎样的,半路出家会有公司认可吗,薪资水平潜力大吗?
网络攻击模型
——网络攻击模型
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net
火山引擎 ADG 社区
CSDN-OPC开发者社区
2048 AI社区
九章云极普惠算力
openvela
昇腾开源生态专区
EazyDevelop社区
