先知技术社区

Flowise 是开源的低代码/无代码工具，帮助用户快速构建和部署基于大语言模型（LLM）的应用程序。最近爆出了大量漏洞，来看一下

本文通过逆向分析某App，解析x-bili-trace-id、Authorization及key等核心请求参数的生成机制，结合Jadx静态分析与Frida动态Hook技术，揭示其加密逻辑。

在日常的渗透测试中，我们常会遇到一片空白的页面，让许多师傅感到无从下手。其实，这种“空白”往往只是表象，背后可能隐藏着未被发现的管理后台、API接口甚至是安全漏洞。本文总结了几种实用的思路，旨在将“空白页”变为突破口，打开渗透测试的新视角。

本文涵盖了二进制安全从入门到精通的完整知识体系，建议读者结合实际环境进行练习，在实践中不断深化理解。如有疑问，欢迎交流讨论。

大型语言模型安全；对抗性机器学习

分享阿里AI安全挑战赛三赛道实战经验，深入剖析大模型推理攻防、业务漏洞挖掘与安全产品绕过技术。

edu系统一直是安全测试的热门目标，系统多、漏洞类型丰富，而且开发者通常更关注功能实现，安全防护相对薄弱。本文分享三个真实的漏洞案例

随着Rust语言在系统编程和安全关键应用中的广泛采用，针对Rust项目的安全测试需求日益增长。传统的AFL、libFuzzer和honggfuzz主要支持C/C++语言开发的项目，无法直接应用于Rust生态。基于传统模糊测试思想，Rust社区逐步构建了专用的模糊测试工具链。 本文系统介绍三种主流Rust模糊测试工具的完整使用方法：cargo-fuzz作为官方推荐的libFuzzer封装工具，提供

Go语言作为云原生时代的主流编程语言，其应用范围已覆盖容器编排、微服务架构、区块链平台等关键基础设施。随着Go项目在生产环境中的广泛部署，针对Go代码的安全测试需求愈发迫切。传统的AFL、libFuzzer等模糊测试工具主要针对C/C++项目设计，无法直接应用于Go语言生态。 本文系统分析Go语言模糊测试的技术演进路径，从第三方工具go-fuzz到官方工具链go test -fuzz的完整技术方

SunshineCTF 2025 Web 题解

在这次HVV的时候发现了一些表达式漏洞，但是发现都有 waf，waf 啊 waf，一绕就是一下午，真的燃尽了，下面是绕过的详细记录，这次看的案列是 EL 表达式，下面记录自己当时从0到1 的一个绕过过程和复盘记录

前言2025-09-24 用友又又又发布了一个漏洞 关于U8cloud所有版本NCCloudGatewayServlet接口存在命令执行漏洞的安全公告 这次又是全版本的漏洞但是，我觉得这也可以是文件上传漏洞，往下看吧。https://security.yonyou.com/#/noticeInfo?id=736来来来现热乎的，我们先去分析一波看，官方说的升级补丁升级补丁<U8CLOUD系统

大华智慧园区综合管理平台审计

本文深入探讨四种主流C2通信协议的技术实现与流量伪装策略，涵盖HTTPS加密传输、mTLS双向认证、WebSocket全双工通信及DNS隧道隐蔽控制，结合Go语言实例分析其对抗检测机制。

流量样本涉及到webshell流量、CS流量的识别、解密及分析，感觉跟实战很接近，和各位师傅分享下分析思路。

在授权测试某 APP 时，发现一处未授权 sql 注入，但是存在 waf，于是开始了绕 waf 之旅。

鉴权分析：鉴权主要是ExtensionlessUrlHandler 和JHSoft.Log.HttpModuleExtensionlessUrlHandler ASP.NET 中的一个 HTTP 处理程序，主要用于处理无扩展名的 URL。处理无扩展名 URL允许网站使用友好的 URL，而不需要显示文件扩展名：URL 路由支持配合 NET 路由系统，实现 RESTful 风格的 URL：配置方式在

模糊测试作为自动化漏洞发现的核心技术，已成为现代软件安全测试的重要组成部分。libFuzzer作为LLVM生态中的代表性工具，凭借其覆盖率驱动的智能变异策略和易于集成的特性，广泛应用于各类软件项目的安全测试中 本文从模糊测试的基本原理出发，系统介绍libFuzzer的核心概念、环境配置、实战应用和调试技巧。通过具体的代码示例和实战案例，帮助读者掌握libFuzzer的基础使用方法，建立完整的模糊

本文分析了Cobalt Strike的execute-assembly功能以及在Beacon中重构此功能

深入剖析线程池睡眠混淆与扫描器的工作机制，规避对应的检测