先知技术社区

2026阿里白帽大会 - Kaminsky重现：重新思考DNS辖区原则实现的安全性

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

本文基于一套经过实战验证的安全审计 Skill 体系的设计与重构经验，系统讲解如何编写高质量的代码审计 Skill。

skill介绍、skill使用、开发属于自己的skill。

安卓设备APatch部署及利用KPM模块实现InlineHook及SyscallHook技术

针对在 Agent Tesla 等知名 .NET 恶意软件中泛滥的 XORStringsNet 混淆器，本文详细记录了分析师如何抛弃繁琐的传统手动逆向分析，开发出一款高效、全自动的 Python 批量解密工具的实战全过程。

基于Unicode隐藏字符的攻击手法，可以让恶意指令“隐形”地嵌入Skills的md文件中，无论是代码审查还是肉眼查看，都难以发现，但其危害十分严重，可能在 AI 执行过程中造成 RCE、数据泄露等后果，本文将基于此技术在Claude和Codex中进行实践与防御思考

谁在偷窥你的键盘？揭秘潜伏在系统进程背后的“银狐”

MHT：时间在流动！时间在流动！在跳舞！木大木大木大木大木大！

Bread 靶机渗透测试：利用 ACL/ACE 滥用攻击提权前言Bread 靶机是由 maze-sec 团队开发的 Active Directory (AD) 环境靶场，旨在模拟真实域环境下的权限提升场景。本文记录了从信息收集到域控提权的完整过程，重点聚焦于 Wegia CMS 的 SQL 注入漏洞利用、密码爆破，以及通过 bloodyAD 工具进行的 ACL/ACE 滥用攻击。该靶机强调 AD

关于 java 内存马的入门级介绍和实现方式介绍以及排查手段。

CVE-2026-30839（Wallos SSRF）——基于代码层面分析

src漏洞挖掘分享，人生中第一个src漏洞

智慧校园代码审计

HisModules ERP 系统存在的严重安全缺陷

本文介绍了Python中利用Unicode“斜体字符”（如数学字母符号）绕过安全检测的原理：这些字符虽视觉相似但编码不同，而Python在解析标识符时会隐式进行NFKC/NFKD规范化，将其等效为普通ASCII字符。若WAF未做相同处理，攻击者可用变体字符构造恶意代码（如prinᵗ(1)）实现绕过。该方法适用于函数名、变量名和字符串内容，但不适用于关键字，且在不同环境（如Web框架、JSON解析）

本人也是小白，经过分析总结多位大佬的相关文章，总结了C3P0反序列化利用链，大佬轻喷！

利用codeQL自动化寻找反序列化链，借此利用于myfaces框架的反序列化漏洞

本文详细剖析了一个由配置失误（JWT 密钥硬编码）与后端沙箱设计缺陷导致RCE

ida-pro decompile InitializeListHead