先知技术社区

edusrc漏洞挖掘常见思路

本文主要是针对一款开源AI MCP框架的原理进行分析，看看其中的实现逻辑。

Gitdwn靶机贴近真实生产环境，融合了多种常见的安全漏洞与配置隐患，涵盖前端加密逻辑、XML外部实体（XXE）、内网服务暴露、Git版本控制信息泄露等多个核心考点，既考验渗透测试人员的基础操作能力（如端口扫描、目录枚举、密码爆破），也要求具备一定的代码逆向、漏洞组合利用与细节挖掘思维。

Agent Session Smuggling是一种针对AI代理间有状态通信的新型攻击。恶意代理利用A2A（Agent2Agent）协议的会话状态保持特性，在正常的代理间对话中隐蔽注入恶意指令实现恶意的目的执行

本文分析了 Qwik 框架 server$ RPC 机制中的不安全反序列化漏洞 CVE-2026-27971，通过构造恶意 application/qwik-json 请求并利用 QRL 对象 Hash 校验绕过逻辑，实现了未授权远程代码执行。文章详细拆解了从请求解析到动态模块加载的完整攻击链，揭示

随着 Claude Code 的普及，大量用户选择通过第三方中转站（API Proxy）来使用 Claude 模型。然而，中转站作为用户与官方 API 之间的中间层，天然具备篡改请求和响应的能力。本文将从上下文空间异常、模型造假、提示词投毒三个维度，揭示中转站可能存在的安全风险，并给出对应的检测方法。

在litellm-1.82.8、litellm-1.82.7包的proxy_server.py代码中存在多段不同的b64_payload代码载荷，推测其是历史版本载荷。

结合代码分析OpenClaw远程代码执行漏洞（CVE-2026-28466）

随着HTTPS加密通信的普及，传统基于明文特征的流量检测方法逐渐失效，恶意软件也越来越多地利用TLS协议隐藏其通信行为，给安全检测带来了新的挑战。针对这一问题，JA3指纹技术通过对TLS ClientHello消息中的关键字段进行特征提取与哈希计算，实现了在加密流量环境下对客户端行为的有效识别。

kali mcp服务部署，利用claude调用mcp服务，实现自动化渗透

简单分享一下自己在比赛中的解题过程和理解

ciscn-web-isw

记录一次php代码审计

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

Yokan 是一款专为网络安全从业人员、研究机构和企业红队设计的一体化 Web 渗透测试与外网打点平台。系统采用完全自定义的工具流架构，深度集成 ICP 官方查询、AI 智能 Fuzzing 推断以及“指纹到漏洞（Fingerprint-to-POC）”的自动化工作流。

CISCN&CCB 2026分区赛AWDP-Web部分的题目复现

2026阿里白帽大会 - Kaminsky重现：重新思考DNS辖区原则实现的安全性

Pre-Windows 2000 Computer类型机器账户的利用

Donut免杀以及进程空心化分析

2026数字中国创新大赛数字安全赛道暨 三明市第六届“红明谷”杯 pwn 全解解析 附带附件