Aggregator

讲述如何在Coze空间部署cs流量转发

钓鱼网站利用AI生成逼真页面、仿冒官方域名排名，诱导用户下载携带恶意载荷的“WinRAR安装包”。

海量IP地址字符串转码生成shellcode、Beacon木马伪造Referer请求头为10086官网

一款伪装成豆包Claw的恶意项目仍在活跃

Agentic / Context

面向大模型隐私推理的安全协议-MPC与ZK的角色分工

通过精心构造 php://filter 链，在不写入任何文件的前提下，将一个普通的本地文件包含（LFI）漏洞直接升级为远程代码执行（RCE）。

Apache Camel JMS 反序列化(CVE-2026-40860)漏洞分析漏洞概述Apache Camel 的核心目标是把各种不同的系统、协议和数据格式“粘合”在一起。它实现了著名的企业集成模式（Enterprise Integration Patterns, EIP），比如拆分消息、聚合消息、动态路由等。受影响版本中，JmsBinding.extractBodyFromJms() 方法在

记录一条新的hessian二次反序列化链的完整分析过程

通过 Java Attach API的底层Unix Domain Socket通信协议，结合Linux内核memfd_create系统调用实现纯内存态Agent注入。

从受限JavaScript沙箱到宿主Java环境的完整攻击链构造与纵深防御

在 Markdown、公式渲染等富内容处理场景下，由于第三方组件与浏览器底层（HTML、URL、JS 解析器）在实体解码、协议提取和规范化处理上存在机制差异，极易引发解析层面的语义错位，导致了XSS防御体系的 Bypass

Java 反序列化、ObjectInputFilter、JEP 415、Gadget Chain、JDK 21、绕过技术、SignedObject

Foreign Function & Memory API（FFM API）是 JDK 21 引入的用于替代 JNI 的本地互操作接口。

利用 TEXT 段页对齐产生的代码洞（Code Cave），结合 PT_NOTE 段头篡改为 PT_LOAD 的手法，在不改变目标文件大小的前提下，向合法 ELF 程序注入自定义可执行载荷。感染后的程序功能表现完全不受影响，仅哈希值发生变化。

JDK 9 引入 Java Platform Module System（JPMS），把 JDK 内部实现按模块划分，用 exports 和 opens 两个指令控制包的可见性。JDK 16 将 --illegal-access 默认值改为 deny，JDK 17 直接移除该选项。到 JDK 21，强封装已成为不可逆的既成事实。

ISCC 2026 逆向安全竞赛全部 9 道题目的完整题解，涵盖 Conway's Trap、l11nk、北极星混淆、手忙脚乱、QuorumGlyph、如影随形、像素迷宫、拆弹专家以及毛毛虫的逆袭。每题均含逆向分析流程、算法推导与可运行解题代码。

生活在美国数据中心周围的居民都有电费大幅上涨的经历。他们可能并不知道，部分电费账单其实是支付给英伟达的税。英伟达控制着 81% 的数据中心 AI 芯片市场，上个财年其数据中心业务收入 1937 亿美元，毛利率为 75%。对英伟达顶尖 GPU 芯片的拆解报告显示，其制造成本约 3300 美元，但售价高达 2.8 万美元，利润率高达 88%。如此高的利润其实是一种税，总要有人来承担。数据中心周围的居民就处于这条支付链条的末端。为了少给英伟达缴税，科技巨头都在竞相开发更便宜的 AI 加速芯片，如 Google 的 TPU、亚马逊的 Trainium、微软的 Maia 以及 Meta 的 MTIA，OpenAI 也在与博通合作设计 AI 芯片。但我们为什么要给英伟达缴税？

ISCC2026部分web题wp

前言：在平时测一些站点的时候，几乎都会有登录框或者一些权限存在区分的地方，在这些地方大部分又是使用shiro框架来负责权限操作的；网上的一些原理或者操作太过抽象和分散，于是这篇文章就是谈谈shiro框架的一些漏洞合集和简单分析。首先什么是shiro框架呢？Apache Shiro 是一个功能强大且易于使用的 Java 安全框架，用于处理身份验证、授权、加密和会话管理等核心安全性问题。Shiro 可