glibc2.35-malloc源码分析
malloc源码分析
先知技术社区
特征码免杀技术深度解析:从原理到实践
7 hours 36 minutes ago
本文系统探讨指令替换、控制流平坦化、多算法加密等免杀技术原理与代码实现。
AI对抗性机器学习:攻击与原理
7 hours 37 minutes ago
、
记一次测试未授权接口需要的AES加密逆向
7 hours 37 minutes ago
当你在测试的时候发现了一个可撸的接口,但是他的请求数据包却是加密的,这时候就要用到JS逆向了
Apache Causeway (CVE-2025-64408) 反序列化远程代码执行漏洞分析
7 hours 37 minutes ago
Apache Causeway 是 Apache 基金会开源的 Java 企业级领域建模框架,基于 Spring Boot 架构,能够为实体类、领域服务和 ViewModel 自动生成 Web 界面与 API 接口,广泛应用于企业级管理系统的构建。
在受影响的版本中,框架在处理 ViewModel 的书签(bookmark)与 URL 片段时存在严重的安全缺陷:**系统将客户端可控的内容直接作为
深度解析:Spring MVC代码审计实战
7 hours 37 minutes ago
前言现在绝大多数的新项目都是基于Spring Boot的Spring MVC实现,这里也主要以Spring MVC框架展开讲解。在Spring3.0版本,引入了Java注解,我们只需要使用Spring MVC注解就可以轻松完成Spring MVC的配置了。下面介绍一下Spring 注解配置Spring Controller 类级别注解1. @Controller作用:标识一个类为 Spring M
银狐木马留痕分析 (一)文件痕迹
7 hours 37 minutes ago
银狐,又名Winos 或 ValleyRAT。流传范围最广的是Winos4.0版本,本文对其在受害主机留下的文件相关痕迹进行分析总结,提取出关键信息以便后续的溯源分析,并给一键dump脚本,便捷提取出所有留下的蛛丝马迹。
AI安全的“源头之患”:数据投毒漏洞的深度解析与防御之道
7 hours 38 minutes ago
人工智能技术的迅猛发展,使其深度渗透到医疗诊断、自动驾驶、金融风控等关键领域,成为驱动社会变革的核心力量。然而,AI系统的“智能”源于对海量训练数据的学习,数据的质量直接决定了模型的可靠性。在众多AI安全漏洞中,数据投毒以其“源头污染”的特性,成为威胁AI系统安全的隐形杀手——攻击者通过篡改训练数据,即可实现对模型行为的长期操控,其危害具有隐蔽性、持续性和破坏性等特点。本文将从数据投毒的技术原理、
第三届古剑山web-wp
7 hours 38 minutes ago
被内网卡了一会没抢到血,太难受了
DIR-505 路由器固件漏洞复现
7 hours 38 minutes ago
本文通过 DIR-505 路由器固件漏洞复现带你从 0 到 1 入门路由器漏洞分析与利用
记一次从容器到域控得渗透过程
7 hours 38 minutes ago
主要攻击链路:
信息泄露->CVE-2025-2945
ssh横向->隧道搭建
NFS no_root_squash漏洞->docker ca 接管
ldap 配置篡改 -> Responder 进行ldap投毒
域凭证捕获 -> gMSA 密码检索
AD CS 滥用 -> 证书身份冒充
域管理员
从启动到脱壳:深入 Android 应用加固与 DEX 透明加载原理
7 hours 38 minutes ago
引言在 Android 应用安全领域,“加固”是保护应用代码免遭逆向分析和篡改的重要手段。而想要真正理解加固技术,需必须深入 Android 系统的底层运行机制——尤其是应用从点击图标到 Application 初始化的完整启动流程。本文将从 Android 应用的启动过程入手,逐步剖析 Zygote、ActivityManagerService、ActivityThread 以及 LoadedA
一个木马,三方印记:中国数字签名×俄罗斯邮箱×乌克兰上传
7 hours 38 minutes ago
外联dropbox获取密钥、释放DWservice远控木马
QLCoder:LLM增长的CodeQL Agent框架
7 hours 38 minutes ago
本文将介绍一个基于大模型代理的框架QLCODER,能直接从CVE元数据中自动合成CodeQL查询,解决了“漏洞描述→检测规则”的自动化转换难题。 相信众多甲方安全的同学都在探索这条路线,希望本文能够给一些启发
小智ESP32管理平台代码审计分析
7 hours 39 minutes ago
本文对Xiaozhi ESP32 Java服务端进行代码审计,发现存在鉴权绕过、未授权访问、JWT密钥硬编码及任意文件上传等高危漏洞。
php代码审计-二进制漏洞审计-利用
7 hours 39 minutes ago
主要从泄露的源码进行代码审计,拿到权限,然后对二进制文件进行分析,编写漏洞利用脚本
跨位数注入技术深度解析:从Heaven's Gate到x86与x64双向进程注入
7 hours 39 minutes ago
本文深入剖析跨位数注入技术原理,结合Heaven's Gate机制,详解x86→x64及x64→x32双向注入的实现方法与核心代码。
Apache CXF RCE(CVE-2025-48913)漏洞分析
7 hours 39 minutes ago
受影响版本中,JMS传输模块的JndiHelper类在初始化JNDI环境时,未对外部传入的java.naming.provider.url配置项进行安全校验。攻击者若能控制此配置项,可将其指向一个恶意的RMI或LDAP服务地址,导致后续的JNDI查找操作加载并执行远程服务器上的恶意代码,导致远程代码执行。
利用数据流“清洗”大模型漏洞检测:LLMSAN 技术解析
7 hours 39 minutes ago
该研究针对大语言模型(LLM)在代码漏洞检测中容易产生误报的"幻觉"问题,提出了一种新的去伪技术:通过让LLM生成数据流路径并将其分解为基本属性进行验证,从而筛除虚假漏洞报告。实验显示该方法在合成基准上达到91%精确率和74%召回率,相比未处理提升22%精确率,在真实Android恶意软件检测中也优于工业级分析器。
Apache CXF SSRF(CVE-2024-28752)漏洞分析
7 hours 39 minutes ago
Apache CXF是一个开源的 WebService 框架,CXF可以用来构建和开发 WebService,并且支持多种协议。2024年3月15日,官方发布安全公告,披露 CVE-2024-28752。Apache CXF Aegis databinding SSRF漏洞,在使用了 Aegis DataBinding 的情况下可能存在SSRF漏洞,使用其他的 data bindings (包括默
Checked
7 hours 37 minutes ago