Aggregator

7月份tomcat官方陆陆续续公开了几个漏洞，其中之一是CVE-2025-52520，这个漏洞虽然顶级是低危，但是细致一看还是有点意思，所以也花了点时间看了下。

本文主要分享笔者在二开哥斯拉中期时遇见的一些问题和修改想法

攻击者利用模型的漏洞，通过精心设计的输入补丁等，诱导模型做出错误预测或行为

Microsoft revealed it has seized 338 websites associated with RaccoonO365, a phishing kit which has stolen at least 5000 Microsoft credentials worldwide

本场大赛聚焦于工业领域网络安全和数据安全领域典型场景，通过联邦靶场平台加多个分靶场的形式来提供环境，将业务场景抽象转化为关键技术挑战，着重考察选手针对工业控制系统、车联网系统、网络通信等关键基础设施的安全风险识别能力、高效漏洞修复技术以及灵活多变的即时应对策略，综合提升选手所具备的网络安全技能和网络攻防实战水平。

2025年湾区杯网络安全大赛web题解

有幸拿到了MetaCRM的源码，并且今年hw也爆出过很多洞了，简单看一下爆出来的漏洞

通过ZwTerminateProcess等内核API实现对360、火绒、Defender等安全软件进程的强制终止。

不久前，由ESET的安全研究员发现了首个由AI驱动的勒索软件，并命名为PromptLock，本文将简单对此勒索软件进行简要分析，主要内容为攻击者如何操纵AI进行勒索攻击，因此不涉及逆向相关。

在恶意软件动态分析场景中，虚拟化（如 VMware、VirtualBox）与仿真（如 QEMU）是安全研究员的核心工具 —— 它们能构建隔离环境，方便监控系统行为、捕获网络流量或调试样本。但攻击者为规避分析，常会在恶意代码中植入反虚拟机（Anti-VM）技术，通过检测环境特征来改变代码逻辑（如停止恶意功能、释放诱饵代码），这篇文章我们来聊聊如何检测和简单绕过

针对大模型的攻击并非总是直接破坏其内部结构或窃取数据，一种更为普遍且隐蔽的威胁来自于对其核心功能的滥用。攻击者可能并不试图“攻破”模型本身，而是将其强大的生成和理解能力作为工具，用于执行大规模的恶意或非预期活动。这种滥用直接利用了模型按设计提供的服务，但其目的却与良性应用背道而驰

Submit #649910 / VDB-324641

本文介绍了利用CodeQL_n1ght工具对大型Java OA系统进行代码审计的方法，包括数据库构建、扫描策略及漏洞检测示例。

本文围绕云上服务与云原生攻防两大核心板块展开，先介绍云服务关键组件（含云服务、云数据库 RDS、身份访问管理 IAM、对象存储等）的定义与核心特性，再深入剖析云上安全风险：对象存储面临权限配置不当、域名解析接管、AccessKey 泄露等问题，弹性计算服务（ECS）存在元数据泄露与 SSRF 结合的漏洞，云数据库则有账号密码泄露、爆破及内外网访问风险，同时给出针对性防御建议；云原生攻防部分，详细说

以自制工具为例，深入讲解何为投毒、怎么投毒

如何使用codeql自动化的发现项目中的水平越权

Submit #649898 / VDB-324639

对mimikatz中的通过Widgest提取明文凭证的探索