系统安全

HackTwoHub14 天前
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人在漏洞赏金(Bug Bounty)和SRC平台中,SQL注入至今仍是** payout 最高、出现频率最稳定**的漏洞类型之一。但面对成百上千个接口、数十种参数位置和千变万化的闭合方式,纯手工测试不仅效率低下,更容易漏掉那些藏在JSON body、Cookie或Order By里的"深洞"。
Chengbei1114 天前
sql·安全·web安全·网络安全·自动化·系统安全·xss
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。游刃AISec是一款真正拟人化的全自动渗透测试智能体,彻底区别于传统规则式漏洞扫描工具。工具支持真实浏览器交互,模拟渗透人员手动操作,实现全自动化漏洞挖掘与验证。可精准检测SQL注入、XSS、越权访问、SSRF、信息泄露等常见Web漏洞,自带AI智能核验机制,有效降低误报率。支持自动登录、验证码识别、流量拦截与Burp联动,适配复杂业务场景,全程无人值守,大幅提升渗透测试效率。
vortex515 天前
linux·服务器·系统安全·suid
Linux进程权限继承研究:从setuid()到exec()与system()的行为差异在Linux系统中,每个进程的身份远不止一个“用户ID”那么简单。为了支持临时提权、权限恢复以及最小特权原则,Linux内核为每个进程维护着一组复杂的凭证结构(struct cred)。理解这些凭证在各类系统调用中的传递与变换规则,是编写安全SUID程序、构建沙箱环境以及进行漏洞分析的基础。
HackTwoHub16 天前
运维·安全·web安全·搜索引擎·网络安全·系统安全·安全架构
免费FOFA高级会员、DayDaymap、360Quake、Hunter测绘搜索引擎高级会员免费使用最大1W条查询工具在网络安全运营、攻防演练、资产测绘与漏洞治理场景中,网络空间测绘引擎已成为不可或缺的核心工具。FOFA、DayDaymap、360Quake、Hunter 作为国内主流测绘搜索引擎,凭借全面的资产覆盖、精准的指纹识别与高效的数据检索能力,占据行业主导地位。而高级会员 10000 条单次查询权限,更是批量资产梳理、大规模漏洞排查、全景攻击面分析的关键能力。本文从功能定位、会员权益、1W 条查询实战价值、语法差异、应用场景与使用规范等维度,全面解读四大引擎高级会员能力,为安全从业者提供选型与实操指南。
Amy1870211182317 天前
安全·系统安全
并网防孤岛保护装置:守护光伏与储能系统安全的最后一道防线随着“双碳”战略深入推进,光伏发电、储能系统等分布式新能源项目在全国遍地开花。工厂屋顶铺满光伏板,工业园区建起储能电站——这些绿色能源设施正以前所未有的速度融入我们的日常用电体系。然而,在享受绿色电力的同时,一个不容忽视的安全隐患悄然存在,那就是“孤岛效应”。
山东点狮信息科技有限公司17 天前
后端·安全·spring·spring cloud·微服务·系统安全·资产
点狮HRM-HRM系统安全体系与数据保护方案在当今数字化时代,企业人力资源管理(HRM)系统承载着员工最敏感的个人信息——薪资数据、家庭住址、身份证号、银行卡信息等。一旦这些数据泄露,不仅会造成严重的经济损失和声誉损害,还可能面临法律合规风险。根据《2024年数据泄露成本报告》,人力资源数据泄露的平均成本高达472万美元,远高于其他行业平均水平。
是逍遥子没错19 天前
web安全·网络安全·系统安全·oa系统·src挖掘
昆仑AI SRC赏金猎人实战手册昆仑AI安全实验室昆仑AI SRC赏金猎人实战手册漏洞挖掘全链路攻防体系知识星球:昆仑AI安全研习社-内部文档
m0_7381207220 天前
linux·运维·服务器·安全·网络安全·系统安全
HVV应急溯源基础——Linux 系统安全加固配置指南(一)在护网行动与蓝队应急响应过程中,Linux 服务器往往是攻击者重点利用的目标。大量安全事件表明,弱口令、不安全权限配置、SSH 暴露以及敏感文件泄露等问题,极易成为攻击者横向移动与权限提升的突破口。
Chengbei1120 天前
java·人工智能·安全·web安全·网络安全·系统安全
CTF & 红队专用 AI 求解AI 引擎 Cairn 系统,化轻量化部署,红队、CTF、漏洞研究一站式解决方案Cairn 是 Oritera 推出的通用状态空间 AI 求解引擎,以黑板架构为核心,依托事实、意图、提示三元模型自主探索未知路径,AI 渗透测试是其首个落地验证场景。系统由服务端、调度器与多并发工作容器构成,支持 Claude Code、Codex 等大模型后端,适配 CTF、漏洞研究、红队演练等场景。该工具曾在腾讯云黑客马拉松斩获第三,拿下全场唯一 AK。依托 Docker 快速部署,遵循 AGPLv3 开源协议,仅可在授权环境开展安全测试。
HackTwoHub22 天前
运维·安全·web安全·网络安全·系统安全·安全架构
关于文件上传漏洞深度绕过利用教程,突破命令执行限制时至今日,文件上传依旧是 Web 挖洞里的 “常青树”,防护再严也总有疏漏。这次实战见识了多重过滤组合拳,也验证了编码、文件头篡改等绕过手法依旧好用。就算碰到 disable_functions 锁死命令执行,借助插件也能轻松破局。老漏洞不老,灵活变通才是挖洞的关键。接下来将一步步拆解绕过技巧,包括文件头篡改、编码变形等手段,并分享针对禁用函数的专项突破方案,带你掌握多层防护下文件上传漏洞的深度利用技巧。
HackTwoHub1 个月前
人工智能·安全·web安全·云原生·容器·kubernetes·系统安全
K8s综合渗透测试工具,集成信息搜集、权限逃逸、横向移动,一站式搞定全流程渗透测试工作K8sPenTool是一款轻量化开源K8s综合渗透测试GUI工具,基于JavaFX开发,无需复杂命令行操作。工具深度集成信息搜集、集群初始访问、命令执行、权限逃逸、权限维持、内网横向移动等核心能力,覆盖K8s全链路攻击测试场景。适配红蓝对抗、集群安全自查与合规评估,可快速检测集群漏洞、排查权限风险,帮助安全人员高效完成K8s集群安全态势研判与渗透测试工作。
你今天努力了吗?*—*1 个月前
安全·系统安全
实践1: Linux 系统运维环境搭建与自动化实践这是一个从零到一的完整运维实践项目,涵盖系统安装、服务部署、自动化脚本和监控体系。我将按照环境准备 → 系统安装 → 安全加固 → Nginx部署 → 自动化脚本 → 监控体系的顺序展开。
打码人的日常分享1 个月前
运维·人工智能·安全·系统安全·制造
NLP和AI大模型应用方案在信息化建设从“流程驱动”迈向“智能驱动”的关键阶段,自然语言处理(NLP)技术与AI大模型的深度结合,正成为企业级应用突破能力天花板的决定性力量。过去,NLP更多承担关键词匹配、规则解析等有限任务;今天,在百亿、千亿级参数大模型的加持下,语言模型具备了前所未有的理解、生成与推理能力,开始从“辅助工具”进化为信息化系统的“智能中枢”。
weixin_307779131 个月前
linux·安全·网络安全·性能优化·系统安全
面向高性能保密计算的定制 Linux 系统构建与自动部署方案场景需求: 在一台“部署计算机”上运行自行开发的 C++ 多线程计算程序(可使用 CPU 或 GPU),要求:
Geometry Fu1 个月前
物联网·安全·系统安全·物联网安全·物联网终端
《物联网安全》第3.3章 物联网终端系统安全非重点章节,简单过一下即可1. 定义与地位2. 终端分类💡 注:智能手机是一种随身携带的 “超级”感知和识别设备(集成了各类传感器、GPS、摄像头、语音/手写识别,甚至能融合RFID读写/标签功能)。
Chengbei111 个月前
人工智能·安全·web安全·搜索引擎·网络安全·小程序·系统安全
小程序 AI 渗透新工具MCP!打通调试与安全检测、网络抓包、接口分析、越权检测一站式实现wmpf-mcp-bridge 是一款开源本地 MCP 桥接服务,专为微信小程序安全评估打造。它可将 WMPFDebugger 的 CDP 调试能力封装为标准化 MCP 工具,赋能 ClaudeCode、Codex 等 AI 助手,自动完成小程序网络抓包、接口采集、运行时快照、权限与越权线索筛查、敏感数据探测等工作。工具仅本地监听、自带安全防护机制,拦截高危操作,全程被动取证,可快速生成接口清单与全审计笔记,是小程序渗透与合规测试的高效辅助利器。
Chengbei111 个月前
java·开发语言·安全·web安全·网络安全·系统安全·安全架构
一站式源码安全检测工具、云安全 / APP / 小程序源码敏感信息递归多层目录扫描AK、JWT、手机号、身份证等敏感信息在日常渗透测试、代码审计或源码泄漏排查中,最令人头疼的就是硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串等敏感信息散落在文件角落里,人工翻找效率低下,还容易遗漏,错过关键信息。于是开发了一站式源码安全检测工具,专为云安全、APP、小程序源码泄露排查打造,支持多层目录递归深度扫描。依托近百条实战正则规则,可精准识别AK/SK、JWT令牌、手机号、身份证、密钥等各类高低危敏感数据,自动过滤无效二进制文件,扫描高效不遗漏。工具可精准定位泄露位置并预览上下文,支持多格式结果导出,轻松完成代码审计与
Chengbei111 个月前
javascript·人工智能·chrome·网络安全·自动化·系统安全·安全架构
AI赋能Chrome MCP × JS逆向Skill自动化JS逆向助力挖洞与绕过实战(小白也能学会)如今不少网站把加密逻辑前置到前端,常见包含 AES、MD5、SM2、RSA 等算法。抓包数据不再是明文账号密码,大多以 Base64、十六进制密文形式呈现BurpSuite 的 Intruder 突然失效,手工重放请求全是 400/403,漏洞扫描器也因为无法构造合法密文而直接哑火。本文从 MD5、AES 到国密 SM2出发结合实战案例,梳理前端加密逆向整套思路,借助Chrome DevTools MCP + JS 逆向 Skill技巧,拆解各类加密算法,实现抓包快速加解密,找出算法密钥。
白雪落青衣1 个月前
web安全·网络安全·系统安全
Upload-Labs-Linux文件上传漏洞这里上传文件我们可以打开检查,可以看到该页面对上传文件做了相关的限定,但是只是在前端页面进行了相关的验证,后端不知道,但是我们可以试试绕过前端的校验,可以在设置中禁用javascript,也可以进行burpsuite进行抓包
深邃-1 个月前
计算机网络·安全·web安全·网络安全·小程序·系统安全·fofa
【Web安全】-企业资产信息收集(2):子域名查询,小程序和APP收集❄️专栏传送门:《C语言》《数据结构与算法》《Web安全》 🌟Gitee仓库:《C语言》《数据结构与算法》