先知技术社区

本文系统梳理了Web环境中AI功能的安全测试思路。首先介绍了如何识别网站中的AI功能入口；随后，重点分析在AI功能测试中常见的三个漏洞挖掘方向：提示词注入、跨站脚本攻击（XSS）以及大模型API密钥泄露。

前言前面提到一些webshell的绕过手法，就是利用一些内置的函数去解析正常的业务逻辑，在正常的业务逻辑里面隐藏我们的恶意代码，再通过特定函数去进行解析提取业务逻辑里面的恶意代码，再进行拼接，从而达到绕过AI检测的效果但是比赛的要求是这样的：我们需要从外部获取参数来控制命令执行，一开始我以为很简单，毕竟我都绕过了命令执行了，那接收参数这个不是简简单单吗？但是我想错了遇到的困难比如说下面这段：利用分

JS逆向对抗——记一次渗透测试签名绕过

python日志库远程代码执行漏洞(CVE-2025-27607)分析

还在等手机智能体？看看你自带的 AI 手机助手是不是已经在越权操作了

大体掌握一下做题的流程，以及必要的一些前提的基础

含uofTCTF2026 firewall题解

本问讲述了Gophish平台二开和fuzz历程，旨在测试企业员工安全意识和邮件网关防护能力。通过使用Gophish平台和Zoho企业邮箱，解决了邮件拦截问题，并开发了动态QR码功能，提高了邮件投递成功率和个性化追踪能力。

本文分析Ollama v0.9.5中因未验证用户输入导致的服务器端模板注入漏洞，攻击者可利用该漏洞读取敏感数据。

UofTCTF2026-web部分wp

通过BloodHound发现ACL配置缺陷，利用AddSelf、GenericAll、WriteDacl等权限逐级提权至域控。

环境搭建源码：https://gitee.com/taisan/tarzan-cms修改配置文件账密，导入数据库配置文件漏洞挖掘查看maven依赖：snakeyaml:1.27全局查找核心函数Yaml.load&Yaml.dumpYaml.load()：入参是一个字符串或者一个文件，经过序列化之后返回一个Java对象；Yaml.dump()：将一个对象转化为yaml文件形式遍历zip数据，

通过CRLF注入修改配置，降低安全等级并触发远程代码执行。

WordPress plugin WP-DownloadManager任意文件上传漏洞（CVE-2025-10747）

随着大语言模型（LLM）在企业内部工具、客服系统、智能合约审计、代码助手等场景的深度落地，提示词注入（Prompt Injection） 已经从一个小众红队技术，正式晋升为最热门、最实用、也最容易产生真实危害的AI安全攻击向量之一。

本文主要讲解 Vue 路由守卫及两种常见的绕过方式

利用IDA Pro MCP实现对熊猫烧香病毒的自动化逆向分析，快速识别恶意行为及关键函数地址。

本文复盘了 CISCN 2022 东北赛区 math 题目，围绕同一组公开参数给出了主线解法与多条可替换的拓展路径，并把每条路径中的前提条件、筛选方式和实现细节都整理了一下

Android ART虚拟机的编译能力是系统性能的核心支撑，其编译模块集中在art/compiler目录下，遵循“优化器+后端”的精简三段式架构，完美适配移动设备的性能与资源约束。在Android逆向层面，对Android编译时机的理解决定了是否可以进行更深层次的对抗。

PHPGurukul Online Course Registration SQL注入漏洞（CVE-2025-10663）