Aggregator

面向大模型隐私推理的安全协议-MPC与ZK的角色分工

通过精心构造 php://filter 链，在不写入任何文件的前提下，将一个普通的本地文件包含（LFI）漏洞直接升级为远程代码执行（RCE）。

Apache Camel JMS 反序列化(CVE-2026-40860)漏洞分析漏洞概述Apache Camel 的核心目标是把各种不同的系统、协议和数据格式“粘合”在一起。它实现了著名的企业集成模式（Enterprise Integration Patterns, EIP），比如拆分消息、聚合消息、动态路由等。受影响版本中，JmsBinding.extractBodyFromJms() 方法在

记录一条新的hessian二次反序列化链的完整分析过程

通过 Java Attach API的底层Unix Domain Socket通信协议，结合Linux内核memfd_create系统调用实现纯内存态Agent注入。

从受限JavaScript沙箱到宿主Java环境的完整攻击链构造与纵深防御

在 Markdown、公式渲染等富内容处理场景下，由于第三方组件与浏览器底层（HTML、URL、JS 解析器）在实体解码、协议提取和规范化处理上存在机制差异，极易引发解析层面的语义错位，导致了XSS防御体系的 Bypass

Java 反序列化、ObjectInputFilter、JEP 415、Gadget Chain、JDK 21、绕过技术、SignedObject

Foreign Function & Memory API（FFM API）是 JDK 21 引入的用于替代 JNI 的本地互操作接口。

利用 TEXT 段页对齐产生的代码洞（Code Cave），结合 PT_NOTE 段头篡改为 PT_LOAD 的手法，在不改变目标文件大小的前提下，向合法 ELF 程序注入自定义可执行载荷。感染后的程序功能表现完全不受影响，仅哈希值发生变化。

JDK 9 引入 Java Platform Module System（JPMS），把 JDK 内部实现按模块划分，用 exports 和 opens 两个指令控制包的可见性。JDK 16 将 --illegal-access 默认值改为 deny，JDK 17 直接移除该选项。到 JDK 21，强封装已成为不可逆的既成事实。

ISCC 2026 逆向安全竞赛全部 9 道题目的完整题解，涵盖 Conway's Trap、l11nk、北极星混淆、手忙脚乱、QuorumGlyph、如影随形、像素迷宫、拆弹专家以及毛毛虫的逆袭。每题均含逆向分析流程、算法推导与可运行解题代码。

生活在美国数据中心周围的居民都有电费大幅上涨的经历。他们可能并不知道，部分电费账单其实是支付给英伟达的税。英伟达控制着 81% 的数据中心 AI 芯片市场，上个财年其数据中心业务收入 1937 亿美元，毛利率为 75%。对英伟达顶尖 GPU 芯片的拆解报告显示，其制造成本约 3300 美元，但售价高达 2.8 万美元，利润率高达 88%。如此高的利润其实是一种税，总要有人来承担。数据中心周围的居民就处于这条支付链条的末端。为了少给英伟达缴税，科技巨头都在竞相开发更便宜的 AI 加速芯片，如 Google 的 TPU、亚马逊的 Trainium、微软的 Maia 以及 Meta 的 MTIA，OpenAI 也在与博通合作设计 AI 芯片。但我们为什么要给英伟达缴税？

ISCC2026部分web题wp

前言：在平时测一些站点的时候，几乎都会有登录框或者一些权限存在区分的地方，在这些地方大部分又是使用shiro框架来负责权限操作的；网上的一些原理或者操作太过抽象和分散，于是这篇文章就是谈谈shiro框架的一些漏洞合集和简单分析。首先什么是shiro框架呢？Apache Shiro 是一个功能强大且易于使用的 Java 安全框架，用于处理身份验证、授权、加密和会话管理等核心安全性问题。Shiro 可

一个开源的 AI 代码助手 CLI 工具存在任意文件读取漏洞

比赛部分题解

AI洪流下的防守对抗新范式

A newly analyzed ransomware strain called The Gentlemen is raising serious alarms across the cybersecurity community. Built in the Go programming language and obfuscated with a tool called Garble, it combines powerful per-file encryption with an aggressive ability to spread itself silently across entire networks without any human intervention. Organizations in education, healthcare, transportation, and […]

The post Ransomware Uses SYSTEM Scheduled Task to Encrypt Local Drives With Elevated Privileges appeared first on Cyber Security News.

大数据 AI 下的银狐威胁情报与向前防御 by ourren

将遏制网络犯罪的关口前移 by ourren

AI 渗透测试 Agent 的 Harness 工程演进、防御与我的思考 by ourren

更多最新文章，请访问SecWiki