先知技术社区

本指南是一份系统化、实战化的验证码安全测试权威手册。我们摒弃了孤立看待验证码漏洞的视角，创新性地采用生命周期分析法，将验证码的安全性问题置于多个核心阶段进行深度剖析。

VEH异常调用链控制程序流程原理及分析

大型语言模型安全；对抗性机器学习

操作PEB（进程环境块）和EAT（导出地址表），我们可以实现隐蔽和API绕过

在社会工程学（社工）钓鱼攻击中，通过视觉欺骗“伪造”文件名称后缀是一种常见的手法，其主要目的是误导受害者，让他们误以为文件是安全无害的，从而点击打开或执行该文件。这种技术利用了人们对文件类型和扩展名的信任，以及对特定格式文件的熟悉度来掩盖恶意内容的真实性质。

2025年第三届陇剑杯网络安全大赛 RHG决赛wp

Polar2025秋季个人挑战赛web

项目地址 https://github.com/DERE-ad2001/Frida-Labs

流量样本涉及到webshell流量、CS流量的识别、解密及分析，感觉跟实战很接近，和各位师傅分享下分析思路。

前言书接上文，高级进程注入之利用线程名和APC实现进程注入（上）：https://xz.aliyun.com/news/18877上文中已经介绍了相关的API，本文会讲述利用线程名注入的实现细节，相比较传统的进程注入需要创建线程，这是一个不需要创建线程的新技术介绍通常，向一个进程的内存写入内容，需要我们在打开进程句柄时带有写权限，PROCESS_VM_WRITE，但这可能被AV/EDR视为可疑指标

由于国内大部分src厂商不收取内容安全漏洞，所以分享一次某大厂自研大模型的一次实战通过提示词注入导致弹xss弹cookie。

N1CTF Junior re pyramid

本文介绍了一种通过动态获取SSN和系统调用地址实现间接系统调用的方法，利用汇编跳转绕过API Hook，提升对抗EDR/AV的能力。

COS提权与利用解密脚本下面 xor 后的三个结果分别是 ak，sk，session token，配置下 secretid 和 secretkey（开了几次环境，所以下面ak和sk可能会有变化）token 需要手动去配置下后续发现很多命令有问题，还是用 aws 吧先看下当前用户，这里报错是因为腾讯云 STS API 不是 S3 协议兼容的，而是走的 TC3-HMAC-SHA256 签名体系可以用

前几天都在研究高版本的fastjson，都知道高版本的fastjson对于@type多了非常多的限制，导致反序列化漏洞越来越难，特别是白名单让漏洞更难利用，不过需要探测 fastjson 是作为打入的第一道关卡，探测的手法也多种多样，下面来分析一个畸形 payload ，不符合 json 格式但是任然能够解析

漏洞原理介绍，exp分析，exp动态调试，漏洞复现

话说你真的了解jsp webshell吗？他能变成java你敢信？jsp实际解析的过程是一个变成java文件的过程，在整个过程中有很多的小点让webshell有了可乘之机

文剖析AI越狱的五类组合攻击技术，结合历史与政治敏感场景，揭示生成式AI安全机制的脆弱性及防御挑战。

万字长文：Linux 内核中/proc/self/maps 的实现与匿名空间释放机制探究

在实际落地实践中，如何在模型更新的过程中兼顾性能提升与安全防护，已成为人工智能领域亟待解决的重要课题。模型更新安全不仅涉及技术层面的防护机制设计，还需要结合业务场景、合规要求以及攻防实践，形成系统化的解决方案