面向大模型的生成-利用式越狱攻击
目前做安全大模型或者说做大模型安全,基本都会有必要的两步,分别是对齐以及红队。 因为随着大模型在各种应用场景中的广泛使用,越来越多的人开始担忧这些模型可能被滥用,尤其是在传播有害或不道德内容方面。由于
阅读全文针对Exchange后渗透利用工具集
工具介绍EWSTool是一个针对Exchange邮件服务器的后渗透利用工具,使用ews接口,实现人员邮箱列表获取、搜索邮件、下载邮件等实用功能。核心功能获取人员信息:获取所有人员信息及邮箱地址。获取文
阅读全文一部“美国造iPhone”要多少钱?;|多家大型养老基金超2万个账号遭入侵,至少数百万元养老储蓄金被盗;
一部“美国造iPhone”要多少钱?;AI图片:Grok“我们会把iPhone工厂搬到美国,用自动化取代手工,把高薪制造业岗位带回来。”这不是脱口秀段子,而是上周末,美国商务部长霍华德·卢特尼克(Ho
阅读全文谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞
谷歌近日发布了2025年4月Android安全更新,共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目,暴露了Android系统面临的严峻安全挑战。技术分析显示,第一个高危零日漏洞C
阅读全文小程序渗透记录 通过细节挖掘漏洞的艺术
奇安信攻防社区https://forum.butian.net/share/4229作者:一天要喝八杯水近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交
阅读全文DD助手!一款多功能安全工具箱
工具简介@LMcream 师傅投稿分享的一款集成多种安全功能的工具箱,旨在帮助用户快速进行网络排查、主机信息收集、日志查询、IP类处理等安全相关操作。工具功能1. 网络排查模块:提取信息:从一键提取或
阅读全文近4万条新生儿信息遭倒卖!一月嫂机构员工获刑3年;|滥用AI换脸技术帮网约车司机避开平台人脸验证 刑!
滥用AI换脸技术帮网约车司机避开平台人脸验证 刑!2025年4月8日,据检察日报报道:近日,上海市静安区检察院办理了一起提供侵入、非法控制计算机信息系统程序、工具的案件。犯罪嫌疑人刘某为了获取私利,在
阅读全文甲骨文私下通知客户云数据泄露事件
甲骨文确认云服务数据泄露 低调通知客户并淡化事件影响甲骨文公司已确认发生数据泄露事件,并开始通知客户,同时试图淡化该事件的影响。一名使用化名"rose87168"的威胁行为者声称,其掌握着与超过14万
阅读全文记录一次通过不断FUZZ从而获取万元赏金
0x01 前言 下午,一个老朋友发来一批资产让我找个有效漏洞,原因是厂商弄活动,提交有效漏洞可获取其奖品,那个奖品对朋友很有吸引力。0x02 漏洞背景 一个后台系统,称其为http
阅读全文一款集成多种安全功能的工具箱,旨在帮助用户快速进行网络排查、主机信息收集、日志查询、IP类处理等安全相关操作
工具简介DD安全助手是一款集成多种安全功能的工具箱,支持网络排查、主机信息收集、安全日志查询、IP类处理、文件内容搜索等相关操作。功能说明1.网络排查模块:提取信息:从一键提取或主动输入的netsta
阅读全文滥用AI批量发骚扰短信 网警依法打击一起非法获取计算机信息系统数据案|ChatGPT-4o五分钟生成假护照:传统验证机制面临危机
华盟信安网络安全就业班火热招生中!!!详情请点击下方链接:【零基础高薪直通车】渗透测试工程师训练营4月底5月初班期正在报名中!!!!!滥用AI批量发骚扰短信 网警依法打击一起非法获取计算机信息系统数据
阅读全文“AI屎山”成代码安全的最大威胁
AI辅助开发导致代码泄密事故率暴增了近四成。当AI将开发效率拉满,安全部门却正如愚公般清理越来越多的“代码屎山”。AI能大大提高代码开发效率,但它也可能把你的密钥、密码、令牌,一起“顺手”提交上去。G
阅读全文某瑟瑟平台渗透测试到代码审计前台getshell历程
文章作者:peiqiF4ck文章来源:https://peiqif4ck.github.io/penetrationtest/2024/11/articles/cbd79839949e8ffc/1►背
阅读全文SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具
工具介绍SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具,用于检测无回显&全回显SSRF漏洞,提供了多种功能供用户自定义,包括但不限于关键字
阅读全文甘肃陇西公安破获一起特大“接码”侵犯公民个人信息案;|某企业业务系统存在高危漏洞 被处罚
甘肃陇西公安破获一起特大“接码”侵犯公民个人信息案;2025年4月5日,近日,定西市陇西县公安局网安大队成功破获一起通过“接码”非法获取公民个人信息为“黑灰产”引流的特大侵犯公民个人信息案,抓获犯罪嫌
阅读全文WinRAR "网络标记"绕过漏洞可导致攻击者执行任意代码
WinRAR最新披露的漏洞允许攻击者绕过Windows核心安全机制,在受影响系统上执行任意代码。该漏洞编号为CVE-2025-31334,影响7.11之前的所有WinRAR版本,CVSS评分为6.8分
阅读全文实战中内网穿透的30种打法!
在攻防对抗中,内网穿透是突破网络边界的关键技术。本文从攻击者视角系统梳理30种实战穿透手法,涵盖协议滥用、云原生穿透、IoT设备渗透等新兴攻击面,并给出企业级防御方案。一、协议隧道技术(8种)1. S
阅读全文CScan!网络空间资产搜索工具
工具介绍CScan是一款基于Go语言开发的网络空间资产搜索工具,支持多个主流网络空间搜索引擎,能够快速搜索IP、域名等资产信息。项目背景在信息收集的时候,经常需要处理大量的IP地址、域名和企业名称等资
阅读全文"剪贴板劫持"攻击:黑客利用虚假验证码通过入侵网站窃取数据
网络安全研究人员发现了一种名为"KongTuke"的新型复杂攻击链,该攻击通过入侵合法网站来针对毫无戒备的互联网用户。Palo Alto Networks旗下Unit 42团队的研究员Bradley
阅读全文2025年十大最佳勒索软件文件解密工具
勒索软件文件解密工具是无需支付赎金即可恢复被恶意软件加密数据的关键解决方案。这些工具通过使用解密密钥或算法来解锁加密文件,帮助受害者重新获取数据访问权限。"No More Ransom"(不再勒索)项
阅读全文攻防实战|记一次和安全产品贴身肉搏
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文一个运行在firefox上的jsonp蜜罐被动扫描器
简介嗅嗅是一款运行在firefox上的jsonp蜜罐被动扫描插件:安装好扩展后,可以在浏览器左上角打开它:运行后,嗅嗅可以在后台检测当前网页发起的跨站请求,若具有jsonp接口特征的请求或对一些媒体网
阅读全文手机被黑屏硬控后,疯狂转账;|黑客盯上澳大利亚最大养老基金,盗取巨额资金和超 2 万账户信息
手机被黑屏硬控后,疯狂转账;手机黑屏的这段时间里钱竟然被偷偷地转走了这到底是怎么一回事?前几日家住鄞州中河街道的李女士接到一通00852开头的香港固定电话对方冒充抖音客服告知李女士其抖音免密支付和会员
阅读全文2025年最佳数据匿名化工具盘点
在2025年,数据保护已成为重中之重。随着越来越多的组织处理敏感客户数据,全球各地出台更严格的数据保护法规,企业需要强大的信息保护工具。这正是数据匿名化技术的用武之地——它通过掩盖或替换个人数据,即使
阅读全文漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路并
阅读全文一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。
工具介绍DeepAudit 是一款基于 Python 和 Tkinter 开发的代码审计工具,旨在帮助开发者自动分析项目代码,检测潜在的安全漏洞。该工具通过调用 DeepSeek API,对代码进行深
阅读全文“被结婚”6次、“被当”公司法人!个人信息怎么就泄露了?
在数字时代,个人信息已成为一种重要的“资产”,但近年来,个人信息泄露或者冒用等问题却时常发生在我们身边,甚至出现了“被结婚”“被办公司”“被贷款”等等一些现象,给当事人带来了不少困扰和损失。这些事件背
阅读全文程序员泄密暴增300%:GitHub一年泄漏3900万秘密信息
近日,GitHub宣布对其高级安全平台进行重大更新,起因是2024年检测到超过3900万个泄露秘密,这一数字较2023年GitGuardian报告的1280万个秘密暴增300%,凸显开发安全问题的严重
阅读全文『渗透测试』前端图形验证码绕过
0x00 前言之前使用Burpsuite一直在用算命瞎子写的图形验证码识别工具。后来不小心把Burpsuite删了,也懒得折腾索性改用了国产工具yakit。接下里的内容就是基于算命瞎子写的图形验证码识
阅读全文一个好用的自动化越权扫描工具
工具介绍一个好用的越权扫描工具,越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。下载地址https://github.com/Ed1s0nZ/InfiltrateX文
阅读全文