技术文章
![[已重新编辑]AI与基础安全结合的新的攻击面](https://www.t00ls.com/attachments/month_2404/24041013099c848f13250a5ec7.png)
[已重新编辑]AI与基础安全结合的新的攻击面
# 一、前言目前越来越多AI落地应用了比如:腾讯混元大模型在研发安全漏洞修复的实践、腾讯会议AI小助手等等,AI与WEB应用结合如果使用不当也会出现各种问题。portswigger提供了一些场景的案例,可以看具体有哪些场景,怎么利用以及会有什么危害。# 二、实验portswigger一共提供了如下四个实验。1、Expl
真实学院渗透思路分享
通过搜索引擎语法对目标学校进行信息搜集找到专升本信息,可以看到2022个学号和姓名有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的ok,找到了身份证号和姓名和学号,就可以重置密码了输入新的密码就可以登陆进去了,但是学生的功能很少,只
Apache Struts2 CVE-2023-50164__
Apache Struts2 CVE-2023-50164________________________________________漏洞描述Struts2是一个流行的Java框架,用于开发企业级Web应用程序。支持动作处理、表单验证、拦截器,以及与其他Java技术的集成。Apache Struts 文件上传漏洞(CVE-2023-50164),未经身份验证的远程攻击者可能会利用该漏洞执行
小世界找联系方式之拓展思路
前提:先祝大家新年快乐,最初这篇文章是iculture.cc这个站点发出来的也就是fanc’pig这位大佬提供的思路,在这之前我也是网络安全板块的版主,和杂七杂八板块的超级版主,由于某些因素fanc‘pig不知道怎么了,站点也关闭了,我就想着把之前的分享一下,然后再加点思路,分享给大家,有很多文章找不到
宝塔最新版本获取完整手机号
这个是我本地搭建的宝塔面板,刚刚装的热乎着呢,先访问一下BT面板f12开起来,点击面板设置,由于匿名佬给我提供的接口我找不到,所以我就把所有的接口全看了一遍最终锁定了这个get_public_config里的请求,如果你直接访问这里的请求网址的话是不行的需要在network这边看他的响应点击响应,慢慢滑下来
溯源小技巧(邮箱、域名、电话、qq)
前言:我写的是一些简单的溯源,就分享一下知识### 邮箱溯源IP这是一个真实的案例钓鱼佬,别被我逮到了,逮到遭老罪了我收到这么一封钓鱼邮件然后钓鱼内容是这样的,无非就是让我点进去然后收集信息,肯定不能上当呀直接点击箭头所指的地方然后直接搜索X-Originating-IP就可以看到IP回显了正常来说,他
求助MySQL delete语句 updatexml报错注入问题? 求助大佬!
事情是这样的:被带入的数据库SQL:DELETE FROM polloptions WHERE polloptionid='146640' and updatexml(1,concat(0x7e,substr((select LOAD_FILE('/etc/passwd')),1,31),0x7e),1)-- +' AND tid='18'报错回显:XPATH syntax error: '~root:x:0:0:root:/root:/bin/bash'这个使用updatexml函数 报错注入
苹果系统ipa安装包导出求助
1、想要导出苹果手机里安装的app安装包,坛子里搜索了一下好像没有搜到类似的贴子,还请各位大神指点一二,很多不是正规app store里下载的app应用,我需要将这个安装包导出,或者应用被删除了不知道还能不能找到原始安装包?2、安卓系统被卸载或者删除的app,原始安装包是否还能在设备里找到导出?
某OA-前台任意文件上传
前言前段时间,官方发布了10.58.3补丁,其中修复了一处前台任意文件上传漏洞,实际利用条件比较苛刻,在此分享一下分析过程利用条件目标开启集群模式。漏洞分析第一部分通过diff10.58.3和10.58.2的补丁可以发现,在新版本中的补丁禁用了几个集群相关的uri通过分析,涉及文件上上传的有clusterUpgrade.j
T00ls-2023深圳沙龙PPT:智能机器人在网络安全对抗中的实践(罗义聪)
人工智能与网络安全工作中面临与解决的问题面临问题:技术人才匮乏繁琐、重复性工作量大持续的安全对抗落地难缺乏易用的国产化平台解决问题:提供安全、稳定、持续自动化工作的机器人,提升3倍工作效率机器人集群与多模型的智能调度应用,提升10倍工作效率和质量智能自动化应用场景研发效率提升3倍
