Aggregator

Starbucks has disclosed a data breach affecting hundreds of employees after threat actors gained access to their Starbucks Partner Central accounts. [...]

skill介绍、skill使用、开发属于自己的skill。

针对在 Agent Tesla 等知名 .NET 恶意软件中泛滥的 XORStringsNet 混淆器，本文详细记录了分析师如何抛弃繁琐的传统手动逆向分析，开发出一款高效、全自动的 Python 批量解密工具的实战全过程。

本文基于一套经过实战验证的安全审计 Skill 体系的设计与重构经验，系统讲解如何编写高质量的代码审计 Skill。

用AI做代码安全审计：claude-code-security-skills 项目解析

漏洞来源一个评分十分的漏洞漏洞描述WeKnora 是一个基于 LLM 的框架，旨在实现深度文档理解和语义检索。在 0.2.12 版本之前，该应用程序的数据库查询功能存在远程代码执行 (RCE) 漏洞。验证系统未能递归检查 PostgreSQL 数组表达式和行表达式中的子节点，这使得攻击者能够绕过 SQL 注入保护。攻击者可以通过在这些表达式中嵌入危险的 PostgreSQL 函数，并将其与大型对象

关于 java 内存马的入门级介绍和实现方式介绍以及排查手段。

本文先分析Hessian1/2的序列化与反序列化过程，接着给出反序列化临时修复的代码，然后分析整理常见的Hessian反序列化利用链，最后补充其他的Hessian知识点。

本文详细剖析了一个由配置失误（JWT 密钥硬编码）与后端沙箱设计缺陷导致RCE

记一次微信小程序 Authorization 头伪造与渗透测试过程

该样本采用**VBS→PowerShell→.NET三层嵌套混淆**，结合**AES加密**与**Process Hollowing内存注入**技术，最终释放**Remcos RAT远控木马**。全程依托AI辅助分析：快速理清混淆代码逻辑、识别API调用模式、解析进程镂空特征，显著提升多层嵌套恶意代码的分析效率。

网上没看到此漏洞的分析，所以自己分析看看何意味

主要分析某大型oa前台0day挖掘

针对厂区接入云端高敏AI模型的迫切需求，本文提出采用IPsec VPN实现低成本、高安全的云地互联方案。文章简述IPsec工作原理，并提供可参考的实战架构拓扑、加密策略、访问控制的安全实战落地指南。

基于Unicode隐藏字符的攻击手法，可以让恶意指令“隐形”地嵌入Skills的md文件中，无论是代码审查还是肉眼查看，都难以发现，但其危害十分严重，可能在 AI 执行过程中造成 RCE、数据泄露等后果，本文将基于此技术在Claude和Codex中进行实践与防御思考

决赛直播｜第四届阿里CTF安全挑战赛

ez_SSTI打法1看代码：碰见这种题目，先看路由以及对应函数名称，看他实现了什么功能目标是/ssti路由下的模板渲染漏洞，要求用户不是admin且钱大于等于10000元怎么得到非admin用户呢?就要用到注册路由/register，注意输入格式那么金额的问题怎么办呢，我们再看看别的路由漏洞主要出现在这里：非admin用户给别人转账不花钱，且转账不用知道密码，那思路就明确了：用admin给刚刚新建