先知技术社区

本研究围绕智能问答系统与代码开发助手的安全威胁展开，深入分析攻击者在真实环境中采用的各类攻击手法。通过解析间接提示词注入、存储型XSS攻击、命令注入与恶意脚本执行等核心攻击模式，系统性揭示攻击者如何通过认知欺骗、社会工程学伪装、编码绕过等技术手段，绕过AI安全护栏的限制，实现对智能系统的攻击和利用。

--此次漏洞挖掘，通过简单的手机验证码绕过，多次复用，最终达到了接管数百企业账号以及数万学生账号的成果。

本文分析Tenda AC6固件中CVE-2025-25343缓冲区溢出漏洞，详述qemu模拟环境搭建、漏洞挖掘及利用过程。

通过定制化Prompt实现小型项目高效代码生成，兼顾规范性与实用性

均为日志/流量分析类型题，现在出现的频率越来越高了。

最近，spring cloud getway 又出了一个10.0分的 SpEL漏洞 这个漏洞和之前的CVE-2022-22947漏洞一样 依然是在热更新路由时触发表达式执行 之前的漏洞不是已经修复的非常完美了吗，为什么还能继续利用呢？

Hessian2反序列化

提取SSH通信会话密钥、利用会话密钥对SSH加密数据进行解密

2025年第三届陇剑杯网络安全大赛 RHG决赛wp

用友NCCloudGatewayServlet 反射调用命令执行漏洞

就俩三天没看用友，今天一看结果day没了，不是哥们~，我还等着明年面试用和补天漏洞普查呢，伤心炸了。。。。那没招了，都爆出来了，直接来分享挖掘过程吧，然后希望大家多多出0day，本人小菜，如有不对的地方望大佬指正。

本文主要介绍了CodeQL其背后的污点传播分析机制。解释了这些传播规则的具体实现方式，并展示了如何通过自定义方式来扩展这些传播规则。

模糊测试作为自动化漏洞发现的核心技术，已成为现代软件安全测试的重要组成部分。libFuzzer作为LLVM生态中的代表性工具，凭借其覆盖率驱动的智能变异策略和易于集成的特性，广泛应用于各类软件项目的安全测试中 本文从模糊测试的基本原理出发，系统介绍libFuzzer的核心概念、环境配置、实战应用和调试技巧。通过具体的代码示例和实战案例，帮助读者掌握libFuzzer的基础使用方法，建立完整的模糊

随着Rust语言在系统编程和安全关键应用中的广泛采用，针对Rust项目的安全测试需求日益增长。传统的AFL、libFuzzer和honggfuzz主要支持C/C++语言开发的项目，无法直接应用于Rust生态。基于传统模糊测试思想，Rust社区逐步构建了专用的模糊测试工具链。 本文系统介绍三种主流Rust模糊测试工具的完整使用方法：cargo-fuzz作为官方推荐的libFuzzer封装工具，提供

本文深入探讨四种主流C2通信协议的技术实现与流量伪装策略，涵盖HTTPS加密传输、mTLS双向认证、WebSocket全双工通信及DNS隧道隐蔽控制，结合Go语言实例分析其对抗检测机制。

listener_gophertcp通信机制与流量解密分析

本文基于阿里AI挑战赛靶场一与靶场二的实战经验，系统性拆解AI智能体在企业场景下的安全攻防逻辑。

一句话背景：病毒通过某网页人机验证诱导执行恶意文件

在实际落地实践中，如何在模型更新的过程中兼顾性能提升与安全防护，已成为人工智能领域亟待解决的重要课题。模型更新安全不仅涉及技术层面的防护机制设计，还需要结合业务场景、合规要求以及攻防实践，形成系统化的解决方案

这篇文章开始给师傅们演示了下资产收集的过程，从对一个目标站点的信息收集再到对该资产站点的渗透测试，给师傅们分享了几个RCE漏洞的过程，还有之前一个前台SQL注入的案例，包括后面利用JS接口文档，找到对应的阿里云AK/SK泄露，再利用CF进行root权限接管，还有就是JWT爆破相关导致未授权的漏洞，最后面给师傅们分享下隐私合约的漏洞。