AI越狱?利用CFA提示词来进行对话绕过AI的道德限制
注:本文仅用于安全技术学习,请禁止用于任何违法场景。本人坚决反对并谴责任何利用AI技术进行非法、有害、歧视性或违背伦理的行为。本文内容不应被理解为对绕过AI安全机制的鼓励或操作指南。所有讨论均建立在提
阅读全文精准判断,上证突破4000!跟随特朗普进行趋势 / Trump Always Chickens Out 依旧进行
前言 TACO(全称:Trump Always Chickens Out),是2025年特朗普政府执政期间华尔街针对其政策波动形成的投资策略,核心逻辑为押注特朗普政府"强硬立场获取谈判筹码、最终
阅读全文钱包交互的安全风险——钱包的威胁情报检测工具
前阵子看到群里有人问了一个问题,所以有了这篇文章首先这里的钱包(这里的钱包也是指代两种地址,用户钱包和合约地址)有风险不代表真的有问题,更多的是指我们需要再三确认是否可以交易,例如1)频繁大额转账“短
阅读全文第一次币圈"打新"打错了,就遇到了貔貅币
事情的起因是我最近写了个AI辅助交易的简单系统,于是我打算尝试在盘点提前买入一下,说不定可能会在上线或者空头前有一波小拉升。ENSO币是Enso网络的原生代币,主要用于跨链交互、链上结算及开发者工具支
阅读全文特朗普是否还会taco?
自11月1日起,美国将对所有从中国进口的商品加征100%的新关税10.10 纳斯达克暴跌3.56% ,BTC 暴跌 8%,币圈触发最大多头清算总的来说,10.10又是一次黑天鹅事件,2025年因为特朗
阅读全文记录一次愚蠢的简单的APP手势密码信息泄露漏洞发现
这个APP存在一个简单的APP手势密码泄露漏洞,简单分享一下发现的过程0、前言APP存在手势密码的功能,是一个小型web3交易所如下所示:关闭APP后重新打开APP,就会进入手势密码忘记手势密码则需要
阅读全文吐槽一下现在安全圈的某些公众号群体
很早之前就想发一篇文章来"喷"一下这种现象了。但是一直怕引起一些争议,但是有些话还是想表达一下看法。 1、不知道从什么时候开始,安全公众号越来越多,或者说是安全营销号越来越多,在我知道
阅读全文应急响应案例-36. 某次诡异的xred事件
0.总结 原本以为是onsec检测到了某台主机感染了xred病毒,其这类态势感知的检测原理基本上都是通过恶意ioc即恶意的域名解析来判断,但是经过多次排查却未在该主机上发现任何xred病毒的痕迹
阅读全文区块链基础知识(四)--理财产品之借贷/交易所活期借币
0x01 借贷协议-AAVEAAVE和JustLend 可以看到是Lending赛道的领先者官方网站:https://aave.com/AAVE是最大的借贷协议,其覆盖了12条链,且Revenue 2
阅读全文区块链基础知识(三)-假代币是什么意思?
在现实生活中,有假钱,而在区块链当有各种各样的代币组成,自然也有假代币。 为什么说是假代币呢?事实上区块链里的所有的代币都是虚拟的,绝大部分币都是毫无价值的,或者说它本来就是毫无价
阅读全文智能合约安全杂谈(二)合约后门的函数写法总结(下)
本文地址来源于:智能合约中的那些后门漏洞会加上自己的理解0x06、destroyIBTCToken合约地址:https://etherscan.io/address/0xb7c4a82936194fe
阅读全文智能合约安全杂谈(一)合约后门的函数写法总结(上)
本文地址来源于:智能合约中的那些后门漏洞 会加上自己的理解0x01、burn合约地址:https://etherscan.io/address/0x705051bbfd9f287869a412cba8
阅读全文区块链基础知识(二)-理财产品之赚币/鲨鱼鳍/双币赢
0x01、简单赚币这个非常好理解,就是存入即有收益,类似余额宝一样的绝对保本,且灵活。1、OKX的保本赚币2、BN的保本赚币3、可以看到在牛市来临的时候,针对锚定的美元稳定币有非常多的奖励例如:XUS
阅读全文区块链基础知识(一)-理财产品之质押/再质押
0x01 前言之前刚刚入Web3行业,就觉得Web3行业是非常非常神秘的。再经过一小段时间的学习时候,发现Web3的世界的确有太多的新知识了,可以跨行业,跨金融,包括大量的技术带来的许多专有名词。这些
阅读全文加密钱包安全3——加密货币被盗了,能找回来吗?
0x01 前言最近文章评论区有许多读者询问 “钱包资产被盗后能否追回” 的问题,由于大家提供的信息有限,我此前多直接回复 “难度极大”。但考虑到这类问题的普遍性,有必要系统总结答案 —— 核心前提在于
阅读全文Web3 DAPP的一个安全超高危漏洞的发现
0x01 前言某产品是基于Web2下调用的RWA DAPP,该产品可以通过申购赎回某一类代币,来获取某一类资产,这个资产是债券,或是股票,或是现实中的其他财富,这是前提。该产品存在实时赎回的功能,所谓
阅读全文三步定位APIKey泄露:gitleaks + trufflehog + ggshield 实战指南
最近在内部自娱自乐,排查仓库一些历史的API-KEY记录,固有此文。01—前言为什么要进行秘钥仓库硬编码扫描? 1、代码仓库公开:公司的程序员会将秘钥放到Github公开仓库中,如果被黑客扫到则
阅读全文三步定位APIKey泄露:gitleaks + trufflehog + ggshield 实战指南
最近在内部自娱自乐,排查仓库一些历史的API-KEY记录,固有此文。01—前言为什么要进行秘钥仓库硬编码扫描? 1、代码仓库公开:公司的程序员会将秘钥放到Github公开仓库中,如果被黑客扫到则
阅读全文加密钱包安全2——通过私有的API窃取钱包助记词
0x01 前言加密货币钱包Freighter在5.3.0版本中被发现存在关键安全漏洞,允许攻击者无需用户授权直接获取钱包的恢复助记词。该漏洞影响当时所有安装用户,攻击成功率高达100%,该漏洞允许恶意
阅读全文应急响应案例-35. 利用进程挂载来实现进程隐藏
1、背景情况:客户的服务器被植入了挖矿病毒,但是其PID无法显示,具体表现如下:2. 分析这里面的有个IP:93.95.230.162,通过情报看了一下,明显的矿池的C2,这个明显的就是挖矿团伙用来实
阅读全文揭秘Web3中X和钱包被社工被盗的秘密(三)SMI Swap攻击
01—SMI Swap攻击SIM Swap攻击被称为SIM 卡交换攻击,在Web3安全事件中,已经有不少的用户中招,SIM Swap攻击是一种利用社工方式到极致的攻击手法,它的攻击流程如下:1、攻击者
阅读全文最终篇!!全网最细的DeFiVulnLab详解——新手Web3安全入门必看
我应该是全网第一个做完整个DeFiVulnLab实验的作者在线求一个关注AI复习一下:溢出漏洞(2024-9-23)漏洞解析:算术运算超出变量范围(如整数上溢或下溢),导致资金丢失或账户操纵。修复建议
阅读全文SRC漏洞小技巧——文件上传垃圾漏洞之绕过上传大小
在日常渗透测试中会发现有的上传功能的地方会限制上传大小,例如15M,如果绕过前端的这个提示,使用BURP抓包超大包 BURP会特别卡,导致无法发送,因此写了个小html和py来传输数据。如下图所示可能
阅读全文应急响应案例31-一起远控事件应急分析
1. 概述 近期收到用户需要进行应急响应的支撑,主要表现为用户使用的阿里云平台告警存在webshell行为,通过人工登陆进行分析,发现用户的官网服务器在2020年就被植入webshell,通过分
阅读全文应急响应案例30-钓鱼应急与溯源
1、概述案例来自同事的HVV现场,感觉邮件里面有些有意思的点,分享一下。点击里面的“点此登录完成本次迁移”以后就会跳转到下面的链接:https://admin-1312705177.cos-websi
阅读全文DeFiVulnLabs靶场全系列详解(四十七)逻辑错误-合约锁定处理错误导致可多次提款
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(四十六)闪电贷缺少发起人检查
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(四十五)质押获取的奖励代币可以被合约所有者提取——管理员后门
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文