logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

警报拉响!React 核心组件曝出满分 RCE 漏洞 (CVE-2025-55182),服务器正面临沦陷危机

紧急安全警报:React Server Components高危漏洞CVE-2025-55182威胁预警 一个CVSS评分10.0的严重漏洞正被黑客大规模利用,主要攻击React Server Components的不安全反序列化漏洞。攻击者通过恶意HTTP请求即可实现远程代码执行,目前主要威胁来自: 挖矿病毒(87.121.84.24等IP)部署XMRig门罗币挖矿程序 后门植入(193.142

文章图片
#react.js#服务器#前端
把 GPT-4o 按在地上摩擦?DeepSeek V4 深度测评来了

2026年4月发布的DeepSeekV4通过架构创新而非参数堆叠实现突破,主打百万上下文处理和性价比优势。该模型分为Pro版(1.6T参数)和Flash版(284B参数),采用CSA+HCA混合机制等三项创新技术,在保持低算力消耗的同时接近顶级闭源模型性能。实测显示:代码生成能力接近ClaudeOpus4.6;逻辑推理达开源第一梯队;数学能力较前代显著提升;百万字长文本处理成本仅为行业1/10,成

文章图片
#开源
【SRC漏洞挖掘系列】第09期:XXE与反序列化 —— 当XML和Java开始“吃”代码

本期探讨两大高危漏洞XXE和反序列化的攻击原理与防御。XXE通过XML外部实体注入可读取服务器敏感文件,Blind XXE还能实现数据外带;反序列化漏洞利用魔术方法或组件缺陷执行任意命令,PHP和Java环境尤为严重。文章提供了实战案例、绕过技巧及法律警示,强调漏洞测试需在授权范围内进行。下期将聚焦GraphQL和API安全。

文章图片
#xml#java#github +2
【第十期】高级进阶篇:自动化与智能化 —— 如何用 Python 和 AI 辅助挖掘漏洞?

本期聚焦自动化渗透测试,解决大规模资产检测的效率难题。文章演示如何利用Python编写轻量级漏洞扫描器(如SQL注入批量检测、多线程目录爆破),将繁琐的手工测试转化为高效的自动化流程。同时探索AI赋能安全的新范式:利用LLM进行智能代码审计、生成WAF绕过Payload及自动化报告润色。重点剖析组合拳攻击实战,即通过脚本自动化发现备份文件泄露,并结合AI分析源码定位脆弱点。文末严正警示:自动化扫描

文章图片
#自动化#python#人工智能 +1
【第十期】高级进阶篇:自动化与智能化 —— 如何用 Python 和 AI 辅助挖掘漏洞?

本期聚焦自动化渗透测试,解决大规模资产检测的效率难题。文章演示如何利用Python编写轻量级漏洞扫描器(如SQL注入批量检测、多线程目录爆破),将繁琐的手工测试转化为高效的自动化流程。同时探索AI赋能安全的新范式:利用LLM进行智能代码审计、生成WAF绕过Payload及自动化报告润色。重点剖析组合拳攻击实战,即通过脚本自动化发现备份文件泄露,并结合AI分析源码定位脆弱点。文末严正警示:自动化扫描

文章图片
#自动化#python#人工智能 +1
【第七期】漏洞攻防-前端篇:XSS 与 CSRF —— 当浏览器成为攻击者的“肉鸡”

本文深入解析前端两大安全漏洞XSS与CSRF的攻击原理及防御策略。XSS通过注入恶意脚本盗取用户Cookie或劫持会话,分为存储型、反射型和DOM型三类;CSRF则利用用户登录态伪造请求,实现静默转账等高危操作。文章以盗取Cookie和自动转账为例演示攻击流程,并探讨绕过CSP、Token验证等现代防护的方法(如结合XSS读取LocalStorage)。同时提供防御建议:XSS需过滤输入、启用CS

文章图片
#前端#xss#csrf
【第九期】漏洞攻防-突破边界篇:文件上传与解析漏洞 —— 一张图片如何变成网站后门?

本期聚焦文件上传漏洞——Web安全中的“特洛伊木马”。文章揭秘如何通过Webshell(网页木马)将一张普通图片变为服务器控制端,实战演示绕过前端JS检测、MIME类型验证及文件内容幻数(GIF89a)的经典手法。深入剖析解析漏洞原理,包括Apache未知后缀解析、IIS分号截断及Nginx配置错误导致的任意文件执行。针对2026年防御趋势,详解.htaccess覆盖与条件竞争(Race Cond

文章图片
#web安全
【第八期】漏洞攻防-高危 RCE 篇:命令执行与 Log4j2 —— 打印一条日志就能接管服务器?

本期直击Web安全“核武器”——RCE(远程代码执行),揭秘如何让服务器沦为“肉鸡”。文章以DVWA靶场为载体,实战演示命令注入如何通过拼接符(&&、;)突破输入限制,并利用反弹Shell技术获取服务器控制权。深度复盘2021年史诗级漏洞Log4j2(CVE-2021-44228),解析JNDI注入原理,展示仅凭一条日志触发远程加载恶意类的恐怖威力。同时提供2026年最新的WAF绕过技巧(如Bas

文章图片
#log4j#服务器#运维
CVE-2026-46300 — “Fragnesia“ 深度拆解:当修复补丁亲手唤醒了另一只恶魔

本文介绍了CVE-2026-46300(Fragnesia)​ 是 Linux 内核中一个由修复补丁意外激活的高危提权漏洞。其根源在于 skb_try_coalesce()函数在合并网络数据包(sk_buff)时,未能正确传播 SKBFL_SHARED_FRAG标记。这使得原本属于只读文件(如 /usr/bin/su)的页缓存页,在被挂载到 ESP-in-TCP 数据流进行原地解密时,被错误地当作

文章图片
#linux#安全
CVE-2026-43284 — Dirty Frag 深度拆解:当零拷贝遇上原地解密,页缓存成了攻击者的画板

本文介绍了CVE-2026-43284(Dirty Frag)是2026年曝出的高危Linux内核提权漏洞,源于网络栈零拷贝机制缺陷:IPv4/IPv6的UDP拼接路径未标记SKBFL_SHARED_FRAG标志,导致ESP解密等路径误将共享的页缓存页(如/usr/bin/su)当作私有缓冲区原地写入。攻击者可借助splice()将只读文件页注入网络包,通过ESP原地解密稳定篡改页缓存内容(无需竞

文章图片
#缓存#linux
    共 39 条
  • 1
  • 2
  • 3
  • 4
  • 请选择