先知技术社区

对Python源代码实现了变量名和控制流逻辑的混淆

快速部署扫描环境集群，加快打点速度

大模型部署安全建设指南

本文讲解了如何使用ida的appcall功能

本文基于在攻防演习与众测平台中发现的若干高危 RCE 案例，聚焦于攻击者如何滥用系统原生功能（定时任务、OTA 更新、热加载补丁等）来实现远程命令执行（RCE）。将三个真实案例（均已修复）作为切入点，分析攻击链条、共性与风险，并补充实战层面的技术细节与检测/防御建议，帮助读者在渗透测试与蓝队防御中形成更完整的思路。

通过一次比赛来初识内容安全

CVE-2024-30090通过竞争条件（Race Condition）巧妙绕过权限检查机制。

WMCTF2025 Web部分题解

本指南是一份系统化、实战化的验证码安全测试权威手册。我们摒弃了孤立看待验证码漏洞的视角，创新性地采用生命周期分析法，将验证码的安全性问题置于多个核心阶段进行深度剖析。

VEH异常调用链控制程序流程原理及分析

大型语言模型安全；对抗性机器学习

操作PEB（进程环境块）和EAT（导出地址表），我们可以实现隐蔽和API绕过

在社会工程学（社工）钓鱼攻击中，通过视觉欺骗“伪造”文件名称后缀是一种常见的手法，其主要目的是误导受害者，让他们误以为文件是安全无害的，从而点击打开或执行该文件。这种技术利用了人们对文件类型和扩展名的信任，以及对特定格式文件的熟悉度来掩盖恶意内容的真实性质。

2025年第三届陇剑杯网络安全大赛 RHG决赛wp

Polar2025秋季个人挑战赛web

项目地址 https://github.com/DERE-ad2001/Frida-Labs

流量样本涉及到webshell流量、CS流量的识别、解密及分析，感觉跟实战很接近，和各位师傅分享下分析思路。

前言书接上文，高级进程注入之利用线程名和APC实现进程注入（上）：https://xz.aliyun.com/news/18877上文中已经介绍了相关的API，本文会讲述利用线程名注入的实现细节，相比较传统的进程注入需要创建线程，这是一个不需要创建线程的新技术介绍通常，向一个进程的内存写入内容，需要我们在打开进程句柄时带有写权限，PROCESS_VM_WRITE，但这可能被AV/EDR视为可疑指标

由于国内大部分src厂商不收取内容安全漏洞，所以分享一次某大厂自研大模型的一次实战通过提示词注入导致弹xss弹cookie。

N1CTF Junior re pyramid