Aggregator

php8 首个 bypass disable function漏洞，已武器化为蚁剑插件

AI洪流下的防守对抗新范式

该漏洞允许攻击者通过 REST API 提供了一个 /v1/tools/run端点，利用任意 payload 在目标服务器上执行任意 Python 代码或系统命令。

在某次攻防下遇到的edr环境,对其进行挖掘,发现可以滥用的程序

海量IP地址字符串转码生成shellcode、Beacon木马伪造Referer请求头为10086官网

通过Attach API动态注入Agent，利用ASM在字节码层面改写目标类的方法体，实现认证逻辑的运行时绕过、业务逻辑的精确篡改，以及Agent自身的无痕持久化。

Defender与svchost

从受限JavaScript沙箱到宿主Java环境的完整攻击链构造与纵深防御

本文详细分析了 cPanel & WHM 认证绕过漏洞（CVE-2026-41940）的原理与复现过程，该漏洞源于系统会话机制未严格过滤换行符（CRLF），未授权攻击者可利用此缺陷，在预认证阶段将伪造的 root 权限标识注入至底层 Session 文件中。随后通过触发缓存提升机制使恶意数据生效，从而直接绕过登录校验，获取WHM 管理员权限。

分析最近 Gemini App 的两个间接提示词注入漏洞，总结间接提示词注入实战攻击手法

AI代码审计工作流实现-从想法到实现自动化日入CVE50+、CNVD若干

本文从一个安全从业者的视角，探讨 AI 在渗透测试中的真实落地方式。作者基于开源项目 AI Burp Copilot v2 的实践，分享了"LLM 负责理解、规则引擎负责执行"的分层架构设计，以及在这一过程中遇到的三个真实困境——LLM 的不一致性、业务逻辑漏洞的规则覆盖难题。旨在为同样在探索 AI + 安全的同行提供一些务实参考。

Java 反序列化、ObjectInputFilter、JEP 415、Gadget Chain、JDK 21、绕过技术、SignedObject

钓鱼网站利用AI生成逼真页面、仿冒官方域名排名，诱导用户下载携带恶意载荷的“WinRAR安装包”。

AI For Security：AI在云产品安全建设中能做什么？

LLM 能帮一个安全工程师干些什么

Agentic / Context