Cooddy是华为开源的一款基于Clang AST的源代码静态分析工具，支持数据流分析和静态符号执行技术。

Cooddy实战应用

在 XML 数据交互场景中，XXE（XML External Entity Injection，XML 外部实体注入）漏洞是常见且危害较大的安全隐患。攻击者通过构造恶意 XML payload，利用解析器对外部实体的不当处理，可实现读取服务器本地文件、探测内网端口、执行远程代码（部分场景）等攻击。本文将聚焦 Java 生态下的 XML 解析器，结合安全与不安全解析器分类，拆解漏洞原理与防御方案。

OpenSSL开源库存在多种内存泄漏类型，这些泄漏主要通过静态分析(Coverity)、动态检测(ASan/Valgrind)和模糊测试(libFuzzer)发现。

本文详细讲解AI安全领域新型攻击手法——ASCII Smuggling（ASCII走私），通过零宽Unicode隐形字符实现提示词注入，可在用户无感知情况下操控LLM执行恶意指令，窃取邮箱、附件等隐私数据，并给出可落地的防御方案。

在代码安全审计领域，传统审计方式的痛点日益凸显，而 DeepAudit 作为一款基于大模型的智能审计工具，凭借其独特优势完美解决行业痛点。本文将从官网简介、工具部署、项目审计三个核心维度，手把手教你从零使用 DeepAudit，全程附实操截图与命令，新手也能快速上手。

在渗透测试中，Nginx作为主流的反向代理和Web服务器，其域名与IP的映射配置错误是高频的安全隐患，而HOST碰撞技术正是挖掘这类问题的核心手段。很多小白会疑惑，明明能ping通服务器IP，却无法访问站点，或是部分内网服务藏在Nginx后无法直接探测，这背后大概率是Nginx的host配置规则导致，而HOST碰撞就能帮我们突破这种访问限制，找到配置漏洞。本文从基础原理讲起，全程聚焦实操，教你用两

在【Web安全】逻辑漏洞之URL跳转漏洞：原理、场景与防御已经对URL跳转漏洞进行了基础的介绍，但是近期在渗透中发现由该漏洞引发其他形式的问题，因此本文进行补充。URL跳转漏洞的危害远不止钓鱼攻击，其与XSS的结合利用和未授权/越权访问的延伸危害，能直接突破网站的权限边界和内网防护，造成更严重的信息泄露和服务器被控制风险。测试时需跳出“仅测试外部跳转”的思维，重点验证伪协议利用和内网/高权限页面跳

在数字化转型加速的今天，大型语言模型（LLM）已成为企业提升服务效率的核心工具 —— 从智能客服实时响应客户需求，到内容平台自动生成营销文案，LLM 的深度集成正重塑在线业务形态。然而，这种 “AI 赋能” 的背后潜藏着隐蔽的安全陷阱：当 LLM 与企业内部系统、第三方 API 深度绑定，其对数据和功能的访问权限可能被攻击者利用，成为突破防线的 “隐形通道”。

JeecgBoot是国内主流的开源低代码开发平台，基于Spring Boot、MyBatis-Plus、Vue3等技术栈构建，涵盖快速开发、表单设计、报表统计、流程引擎等核心功能，广泛应用于政府、企业、互联网等领域，承担业务系统快速搭建、数据管理、协同办公等关键任务。