ZONE.CI 全球网

前言
在前些章讲到的Java反序列化中,命令的执行结果需要返回给用户。常用的返回方式有很多,如携带信息的dnslog,或者将执行结果输入到web目录访问查看等等

写在前面
这篇文章主要是通过前端JS来寻找接口进行测试，寻找漏洞成功进入后台后，进行后台文件上传html。仅供学习。过程前端JS进入后台
某日拿到授权站点，开始

0x01 数据分类分级概念0x01.1 什么是分类分级
分类分级是指依赖于目前数据安全法相关的要求，在企业或其它有相关数据的情况下，针对数据及内容进行整理和归类

AI中的攻防
方院士曾经提到，对于安全领域而言，当一项新技术出现的时候，会面临两种情况，一种情况是用其赋能安全，在这方面可以赋能攻击，也可以赋能防御，比如生成对

前言
近期搬砖过程中又遇到actuator组件开放的情况，且env端点发现存在SnakeYAML依赖，为判断能否通过此问题进一步深入到内部，尝试借用SnakeY

前言
对抗攻击从2013年被Szegedy等人提出之后，截止目前，已经被研究的很深入了，相关文章也呈爆炸增长上图是发在arxiv上的有关对抗攻击的文章数量，该领

写在前面
最近参加了首届陇剑杯，和往常的CTF不太一样，题目基本都是流量分析类型的，我也是第一次接触这方面，还挺有意思的。写的不好的地方请各位师傅多多指正~最后

前言
前段时间遇到通过分号绕过nginx层屏蔽并顺利访问到Springboot项目actuator端点的问题，修复过程中偶然发现当项目使用shiro组件时，若将

测试程序
int fd;
struct stat st;
void *mem;void processMem(void)
{char ch = *((char*

前言
最近复现比赛的时候碰到了挺多和 Yii2 相关的反序列化链子的题目，学习的过程中跟着已有的链子进行了分析，同时跟着思路自己也尝试拓宽了一下链子的数量，在这

漏洞描述
Windows 事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。 开发人员能够启动和停止事件跟踪会话，检测应用程序以提供跟踪事件

Glibc带源码调试
因为在分析的最后涉及通过GDB调试来确定一些关键变量的取值，因此为了调试方便，在此处说明如何启动带源码的glibc调试
注：以下步骤均在u

随着云计算、云原生技术的蓬勃发展，越来越多的业务正以数字化的形态运转在以主机和容器为代表的云工作负载上。从日益新增的新型攻击威胁来看，保护云工作负载安全将成为今

WatchAD攻防实战
WatchAD是0KEE Team研发的开源域安全入侵感知系统，WatchAD收集所有域控上的事件日志和kerberos流量，通过特征匹

前言
对于人工智能系统而言，对抗样本的存在是其面临最大的威胁之一，因为对抗样本仅需要针对模型生成特定扰动即可，而相比之下，数据投毒等攻击手段还需要攻击者可以控制

前言
LD_PRELOAD 是 Linux 系统中的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），它允许你定义在程序运行前优先加载

第一次对mips架构的路由器进行分析，整体来说和arm架构的差不多，但是rop利用起来要更加繁琐一点，需要利用到的软件有ida的插件mipsrop。
mips架

作者：风起
前言
​ 大家好，我是风起。本次带来的是对于新型网络犯罪的渗透研究，区别于常规的渗透测试任务，针对该类站点主要核心不在于找出尽可能多的安全隐患，更多

前言
人工智能系统不止存在安全问题，还存在隐私问题，安全问题已经受到了广泛重视，对抗样本等攻击技术大家都有在讨论，相比之下，AI的隐私问题关注的人就没有那么多了

活动简介
2021年10月15日，由安世加主办的“EISS-2021企业信息安全峰会之深圳站”在深圳四季酒店成功举办。峰会以”直面信息安全挑战，创造最佳实践案例

一、背景
腾讯安全云鼎实验室持续监控云原生在野攻击威胁态势，继DockerHub发现百万下载量黑产镜像（详见文章DockerHub再现百万下载量黑产镜像，小心你

0x00 前言
本文不会介绍CPU特权级别，中断，MSR，段机制及页机制等相关前置知识，如果读者此前未接触过这些，建议阅读Intel SDM对应篇章或者参阅链接

前言
师傅们看题目是否会觉得奇怪，AI系统中还能有后门？现在的AI系统不是基本上都基于Pytorch、TensorFlow等成熟的机器学习库调API就可以了吗，

比赛时遇到这道题目，花了两个多小时才做出来。赛后又仔细看了看题，觉得比较有意思，因此来分享一下我的解题过程，方便大家复现赛题。题目分为 check1 和 che

提及 Redis 自然是耳熟能详，说起 Redis 的漏洞的话，未授权访问漏洞、主从复制漏洞等也是张口就来，缺乏实际操作的情况下，终究只是纸上谈兵，所以打算对