先知技术社区

强网杯

Django时隔一年爆出来的SQL注入漏洞，大概一看大概是别名引起的注入（毕竟别名是无法预编译的） 该漏洞影响 Django 框架中的 FilteredRelation 功能，当使用 QuerySet.annotate() 或 QuerySet.alias() 方法，并通过 Python 的字典扩展 (**kwargs) 提供列别名时，存在 SQL 注入风险。这是由于对字典键（即列别名）未进行充分

某管理系统源代码审计

shiro反序列化 结合CC5

关于JeecgBoot漏洞利用Tips

Java代码审计深度分析

受阿里 AI 挑战赛分享启发，结合 edusrc 漏洞规则实践，对校园 AI 提示词越狱的初探索

本文主要揭秘好靶场应急响应靶场制作遇到的一些坑，以及规避的方法。

GreenCMS 存在一个安全漏洞，该漏洞影响版本 2.3.0603 及之前版本。

一道IOT题目的复现

系统介绍了 Special Token Injection（STI）攻击技术，其核心在于利用大模型（LLM）在解析结构化对话模板时的漏洞，通过注入保留/特殊 token 控制模型行为。全文内容结构清晰，涵盖定义、成因、攻击实例及防御方法，配合示例代码与实验截图。

本文剖析PHP8环境下反序列化链的构造，利用__wakeup、__toString等魔术方法触发RCE，结合md5类型转换特性绕过强比较，并通过ArrayIterator、ReflectionFunction实现命令执行。

Go 代码混淆工具，使用 AST (抽象语法树) 技术实现跨文件的代码混淆，同时保证混淆后的代码可编译和可执行。

文件上传导致存储桶覆盖

jdk17-springboot原生链分析

PacketScope是一种基于eBPF的TCP/IP协议栈通用防御框架。通过在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹，绘制协议交互全景图，再辅助以大模型分析，PacketScope实现了协议栈内核级别的分组可视化、安全性分析与零延迟防御。

IAST 能提供更高的测试准确性,并详细的标注漏洞在应用程序代码中的确切位置，来帮助开发人员达到实时修复。

CVE-2025-22865、CVE-2024-44337

本次博客基于一次模拟渗透测试经验，系统梳理车联网全域攻击面，涵盖车载系统、通信协议、移动应用和云端平台等多个维度。通过对车联网完整生态的安全分析，为安全研究人员提供一套实用的渗透测试方法论。

新人小白从漏洞原理、漏洞复现、代码数据流跟踪、漏洞修复四个方面来看若依代码