微软发布2023年5月月度安全更新,共修复38个安全漏洞,包含3个已被公开利用的漏洞。重点关注CVE-2023-24932安全启动绕过漏洞、多个CVSS 9.8分远程代码执行漏洞,并提供详细更新指南和缓解措施。
本文探讨大型语言模型在网络安全领域的革命性影响,从攻防双视角分析其代码生成、复杂指令理解等能力如何改变安全生态,基于Google专家实践分享前沿见解。
本文深入分析了Windows系统无法识别WSL创建的Linux符号链接的技术原因,通过实际测试展示了LX符号链接与Windows符号链接的底层差异,并探讨了两种系统在文件系统兼容性方面的技术挑战。
本文比较了传统机器学习、深度学习与量化小参数大语言模型在钓鱼检测中的性能。研究发现,虽然大语言模型在原始准确率上略逊,但在识别基于上下文的钓鱼线索方面潜力巨大。研究还探讨了零样本和少样本提示策略的影响,并评估了模型的对抗鲁棒性和成本效益权衡。
PortSwigger发布开源Burp扩展SignSaboteur,支持自动化攻击签名Web令牌,包括JWT、Django、Flask等格式,提供暴力破解、密钥推导和权限绕过攻击功能,帮助安全测试人员发现身份验证漏洞。
本文详细介绍了如何通过已建立的Meterpreter会话远程执行Kerberoast攻击,使用Impacket工具获取服务票据,并通过Hashcat离线破解弱密码服务账户,最终实现域权限提升的全过程。
本文深入解析ECDSA签名算法的安全脆弱性,展示如何通过重复或部分泄露的随机数恢复私钥,并提供实际攻击代码示例。涵盖格攻击、侧信道分析及防护措施,帮助开发者理解并规避ECDSA实现中的常见陷阱。
Passkey是一种创新的用户认证方法,通过生物识别和公钥密码学替代传统密码,提供更高级别的安全性。本文详细介绍了Passkey的工作原理、安全优势以及在Apple、Google等主流平台的应用部署。
本文详细分析了Ivanti Connect Secure CVE-2025-22457栈缓冲区溢出漏洞,包括漏洞影响范围、利用方法、缓解措施和实际利用代码示例,涉及远程代码执行和ASLR绕过技术。
本文详细记录了作者在RastaLabs实验室的完整渗透测试经历,包括初始访问、横向移动、权限提升和域控获取等实战技术,涉及AV绕过、Mimikatz使用、ROP攻击等高级技巧。