黑客- 类别 -
-
我使用 Vibe Coding 在前端编写了一个 API 密钥,结果被黑客入侵并被收取了高额费用。以下是一些示例和安全措施。
“Vibe 编码”是一种现代开发风格,专注于快速构建应用程序并使其正常运行,这种风格正日益流行。尤其是像 Supabase 和 Firebase 这样的 BaaS 服务,只需几行代码即可完成身份验证和数据库操作,使其成为快速原型设计和 UI 改进的理想选择。 -
[AI 安全] 通过篡改模型禁用特定类别 | HackTheBox 燃料危机报道
我们现在正处于一个人工智能不仅“学习并做出决策”的时代,而且做出这些决策的模型本身也成为攻击的目标。特别是,机器学习模型的权重和偏差是决定其输出的关键,篡改这些权重和偏差可能会故意扭曲预测结果。这样的模型…… -
[AI 安全] 使用即时注入攻击 AI 协商勒索软件 | HackTheBox TrynaSob 勒索软件 Writeup
如今,人工智能已不再仅仅是“对话伙伴”,它也可能成为攻击者的工具。近年来,即使在勒索软件领域,也出现了能够自动与受害者互动的人工智能谈判机器人,从而简化了赎金支付流程。然而,这些人工智能所拥有的权限和信息…… -
[AI安全] 利用OpenAI函数调用进行AI代理劫持:实践与防御策略详解!HackTheBox忠诚度调查报告
人工智能的演进早已超越了与人类简单的对话。最近的大规模语言模型 (LLM) 能够根据用户请求调用外部函数和 API,从而运行实际的系统和服务。OpenAI 的函数调用功能…… -
[AI 安全] 利用即时注入欺骗法学硕士 | HackTheBox 外部事务报道
我们生活在一个人工智能 (AI) 代理人类决策的时代。如果我们能稍微“欺骗”一下人工智能,会发生什么?这一次,我们接受了 CTF 的挑战,利用人工智能突破国际旅行筛查。我们使用了即时注入技术,这种技术利用了大规模语言模型 (LLM) 的一个弱点。 -
【实用指南】利用 HackTheBox 上的 SSTI 漏洞进行 RCE 攻击!了解漏洞成因及应对措施 | Spookifier Writeup
模板引擎在 Web 应用中被广泛使用,用于将 HTML 和数据组合起来生成显示内容。例如,在后端,模板引擎用于将用户名、帖子内容和其他信息嵌入 HTML。然而…… -
如何开始使用 Hack The Box | 免费和付费计划、实验室和学院的全面比较
许多立志成为安全工程师,并希望通过 CTF 提升自身技能的人,可能正是出于这种想法,才对 Hack the Box (HTB) 产生了兴趣。然而,当你真正访问其官方网站时,你会看到各种各样的服务(实验室、学院、CTF、商业等等)…… -
[XSS演示]我尝试用一行攻击网站!
“我尝试创建一个可以使用HTML标签的公告板应用!”如果只有一行帖子将“接管”初学者工程师的作品,该怎么办?这次,我们将使用一个“跨站点脚本(XS)”的示例,这是安全的基础知识,以了解它们有多脆弱... -
对于初学者:春季靴子和Mybatis练习! SQL注入风险和预防
开发Web应用程序时,不可避免的安全措施是不可避免的。其中,“ SQL注入”被称为对数据库的严重威胁。在本文中,我们将以一种易于理解的方式解释SQL注入的工作原理,我们将解释它的实际是什么... -
[SECCON初学者CTF 2024] Web写入
这不是一个很好的结果,但是我参加了SECCON初学者CTF 2024,所以我将作为备忘录留下文章。 ssrforlfi源检查tar.gz之后的文件夹结构如下。 $ find ./ ./ ./docker-compose.yml ./.env ./app ...