Aggregator
加州新提案将禁止无限滚动
20 hours 47 minutes ago
加州民主党议员 Josh Lowenthal 今年初提出了法案 Assembly Bill 1709,禁止 16 岁以下儿童使用具有成瘾设计的社媒平台。在听取反馈之后,Lowenthal 修改了其提案,改为禁止社媒平台使用具有成瘾性质的设计,而所谓成瘾设计包括了无限滚动的信息流、自动播放、推荐算法和推送通知等常见的社媒功能。Lowenthal 表示其提案的初衷不是阻止访问,而是阻止掠夺性行为。提案要求社媒公司在 2028 年前调整其平台。Lowenthal 在听证会上表示无限滚动等是产品功能而不是言论。
AI自动化fscan二开
20 hours 49 minutes ago
本文以学习记录为主,参考网上文章,针对fscan二开流程:利用AI去除fscan敏感特征---->使用garble混淆编译----->利用加载器落地,进行了较为完整的AI闭环。
记录在利用AI实现过程中遇到的一些问题,以及解决思路。
创新点:利用对AI的执行闭环,让Ai自动化fscan二开、不止对fscan进行二开,对加载器也进行二开和规避特征,达到了一定的免杀效果
项目地址:https://gi
HackTheBox Spooktrol 渗透实战:从任意文件读取到接管 C2
20 hours 52 minutes ago
本文记录了 HackTheBox Spooktrol 靶机的一次完整渗透过程。攻击从 Web 服务中的目录穿越漏洞开始,通过任意文件读取获取 implant 可执行文件,并结合流量分析、Caido 代理劫持、Match & Replace 自动替换、Ghidra 静态逆向与 GDB 动态调试,逐步还原 implant 与 C2 Server 之间的任务通信机制。随后,利用文件上传能力写入 SSH
HPE security advisory (AV26-691)
20 hours 55 minutes ago
Canadian Centre for Cyber Security
从零打造一款Go语言C2框架:架构、坑与实战细节
20 hours 57 minutes ago
Go语言C2框架打造实录
[Agentic Skills 投毒]:免杀技术、语义混淆与三层防御框架
21 hours 1 minute ago
Skills 安全的攻防逻辑与传统软件供应链安全高度同源,真正的新挑战在于 AI 上下文注入、语义对齐绕过、LLM 检测盲区。文章建议用户要么自编 Skills 从源头控制风险,要么走完整审核路径(安全扫描 → 权限评估 → 手动检查敏感路径 → 确认依赖来源 → 沙箱试运行)。在模型一月一迭代的节奏下,能在高速演进中保持清醒的安全从业者将越来越有价值。
[原创]全AI流程搞定Unity IL2CPP改包、Frida-Gadget脱机注入与免死逻辑复现
21 hours 1 minute ago
本文记录 全程AI Unity IL2CPP 逆行改包全流程:静态导出 dump 定位 AutoRevival 死亡链,Gadget 脱机注入实现碰撞续跑、去闪屏、无限复活,附 AI 指令与实机验收,技术细节保留、样本脱敏。
基于GPT架构的webshell识别模型
21 hours 1 minute ago
基于GPT架构的webshell识别模型
Vulnyx - SummarizeThis 靶机WriteUp
21 hours 1 minute ago
SummarizeThis 是一台围绕 AI 网页摘要生成场景设计的靶机,攻击链覆盖了从间接 Prompt Injection 到容器逃逸提权的完整路径。整台机器不依赖传统 Web 漏洞,而是侧重于考察攻击者对LLM 上下文注入与恶意网页投毒的理解和利用能力,非常贴近当下 AI 驱动应用的安全测试场景。
[原创] RAG 链接入库 SSRF:内网内容如何成为模型上下文
21 hours 1 minute ago
RAG「粘贴链接入库」存在 SSRF 风险:服务端代抓内网 URL,敏感内容写入知识库,问答时可能二次泄露
CVE-2026-30457 漏洞复现:FuelCMS Dwoo 安全策略绕过导致远程代码执行
21 hours 2 minutes ago
FuelCMS 是一款基于 PHP CodeIgniter 框架的开源内容管理系统。2026 年 3 月,该 CMS v1.5.2 被披露存在一个 CVSS 9.8 的严重漏洞(CVE-2026-30457),其核心组件 `/parser/dwoo` 中的安全策略实现存在缺陷,攻击者登录后台后可通过 Dwoo 模板引擎执行任意 PHP 代码,最终获取服务器权限。
本文将从代码审计角度出发,完整复
Марсианский марафон длиной в 5 лет: ровер Perseverance преодолел 42 км инопланетных кратеров и камней
21 hours 2 minutes ago
Что уже успел сделать легендарный марсоход и какое будущее его ждёт?
基于多样本一致性检测的Web漏洞扫描误报优化方法实践
21 hours 5 minutes ago
写了一个扫描器,扫出 192 个告警,其中 189 个是假的。花了三周重写 diff 引擎,误报率从 95% 只降到 90%。后来发现问题的根源不是算法精度,而是"单次观测无法区分噪声与真实触发"。本文提出 MSCT(Multi-Sample Consistency Test)——用双 payload 加无害对照请求代替传统单次 diff,让扫描器在没有人工干预的情况下把误报率降到可接受范围。同时
CSRF + RPO + CSS 侧信道
21 hours 7 minutes ago
一道非常精简有质量的题目,牵扯了很多web的考点
You Don't Have to Run an Exploit to Know If You're Vulnerable
21 hours 8 minutes ago
Many vulnerabilities cannot be safely validated with live exploits, either because no exploit exists or the affected systems are too critical to test. Picus explains how TTP chaining helps organizations determine exploitability by validating the attack techniques an exploit depends on, without launching the exploit itself. [...]
Sponsored by Picus Software
SSTI进阶——多种模版引擎特征及应用
21 hours 9 minutes ago
详细总结了多种模板引擎
NATO logistics, Ukrainian troops are top subjects of Russian camera hacks, advisory says
21 hours 13 minutes ago
Dutch intelligence officials report that at least one Russian agency is compromising internet-connected cameras across Europe to spy on military logistics and Ukrainian personnel.
SAP security advisory – July 2026 monthly rollup (AV26-690)
21 hours 14 minutes ago
Canadian Centre for Cyber Security
HackTheBox Travel:从 RSS 到 Root——SSRF、Memcache 投毒与 LDAP 提权复盘
21 hours 17 minutes ago
本文记录了 HackTheBox Travel 靶机从外部枚举到 Root 权限获取的完整过程。攻击链起点来自虚拟主机与 WordPress 站点枚举,随后通过 blog-dev 的 .git 泄露恢复源码,定位到 awesome-rss 页面中的自定义 RSS 功能、SimplePie 缓存机制以及 Debug 信息泄露。进一步审计发现,受限 SSRF 可借助 Gopher 协议访问本地 Mem