黑客- 类别 -

“Vibe 编码”是一种现代开发风格，专注于快速构建应用程序并使其正常运行，这种风格正日益流行。尤其是像 Supabase 和 Firebase 这样的 BaaS 服务，只需几行代码即可完成身份验证和数据库操作，使其成为快速原型设计和 UI 改进的理想选择。

我们现在正处于一个人工智能不仅“学习并做出决策”的时代，而且做出这些决策的模型本身也成为攻击的目标。特别是，机器学习模型的权重和偏差是决定其输出的关键，篡改这些权重和偏差可能会故意扭曲预测结果。这样的模型……

如今，人工智能已不再仅仅是“对话伙伴”，它也可能成为攻击者的工具。近年来，即使在勒索软件领域，也出现了能够自动与受害者互动的人工智能谈判机器人，从而简化了赎金支付流程。然而，这些人工智能所拥有的权限和信息……

人工智能的演进早已超越了与人类简单的对话。最近的大规模语言模型 (LLM) 能够根据用户请求调用外部函数和 API，从而运行实际的系统和服务。OpenAI 的函数调用功能……

我们生活在一个人工智能 (AI) 代理人类决策的时代。如果我们能稍微“欺骗”一下人工智能，会发生什么？这一次，我们接受了 CTF 的挑战，利用人工智能突破国际旅行筛查。我们使用了即时注入技术，这种技术利用了大规模语言模型 (LLM) 的一个弱点。

模板引擎在 Web 应用中被广泛使用，用于将 HTML 和数据组合起来生成显示内容。例如，在后端，模板引擎用于将用户名、帖子内容和其他信息嵌入 HTML。然而……

许多立志成为安全工程师，并希望通过 CTF 提升自身技能的人，可能正是出于这种想法，才对 Hack the Box (HTB) 产生了兴趣。然而，当你真正访问其官方网站时，你会看到各种各样的服务（实验室、学院、CTF、商业等等）……

“我尝试创建一个可以使用HTML标签的公告板应用！”如果只有一行帖子将“接管”初学者工程师的作品，该怎么办？这次，我们将使用一个“跨站点脚本（XS）”的示例，这是安全的基础知识，以了解它们有多脆弱...

开发Web应用程序时，不可避免的安全措施是不可避免的。其中，“ SQL注入”被称为对数据库的严重威胁。在本文中，我们将以一种易于理解的方式解释SQL注入的工作原理，我们将解释它的实际是什么...

这不是一个很好的结果，但是我参加了SECCON初学者CTF 2024，所以我将作为备忘录留下文章。 ssrforlfi源检查tar.gz之后的文件夹结构如下。 $ find ./ ./ ./docker-compose.yml ./.env ./app ...