蚁景网安实验室

分支对抗简单来说就是利用了增大程序控制分支的复杂度来使得绕过检测引擎，那么我们还有其他的改变程序控制流的思路不？此处我用了两种方法混合在一起实现免杀。

2026年3月31日，著名云安全平台 StepSecurity 监测到，在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios（每周下载量超 3 亿次）遭遇了严重的供应链攻击。

看到标题，可能会误以为这是一条完整的攻击链——先绕过认证，再执行命令。但实际上两个漏洞没有任何依赖关系，放在一篇文章里面只是因为它们出自同一个项目。

医疗场景对输出的严谨性要求极高，一旦发生数据投毒，不仅可能导致诊断建议出错，甚至可能成为数据外泄的跳板，所以我整理了这一篇有关数据投毒的文章。

本文针对H2O-3反序列化漏洞（CVE-2025-6507&CVE-2025-6544）进行漏洞复现、漏洞分析及漏洞修复。

原生APP需要逆向、Hook等技术门槛较高，而混合APP内嵌H5页面，只需抓包分析即可发现漏洞，是APP渗透的最佳入门目标。这次实战目标就是从app提取的h5页面进行挖掘（更偏向Web渗透）。

有个项目做了个问答大模型，刚好需要安全测试，所以就有了这篇记录。某法律机构声称，该模型基于某开源大模型的api微调，且已在应用层部署了严格的内容安全策略，限制其仅回答法律领域问题。

一次从发现到利用的安全漏洞分析之旅：在浏览安全资讯的时候，我偶然间看到了 CVE-2026-0755，这是一个关于 gemini-mcp-tool 的命令注入漏洞。

XXL-JOB是一个分布式任务调度平台，这次介绍的漏洞属于水平越权漏洞，简单来说就是，一个没有任何任务管理权限的用户，只要登录了系统后，就能构造请求来操作其他人的任务。

小比赛随便打，国赛教我做人....AI安全题模拟了一个典型的对抗性机器学习场景，目标是骗过一个已经上线的异常检测系统，目标系统是基于孤立森林的实时风控引擎。

一直以来都想写个流量分析的做题总结，总结一些思路和方法，但找不到好的例题，刚好国赛这道流量分析就挺适合的。

在某社区平台的评论功能中发现存储型HTML注入漏洞。结合平台存在的GET方式登出接口，实现了点击即登出的CSRF攻击。

许多针对大型语言模型的攻击都依赖一种名为提示注入的技术。攻击者通过构造特定的提示语来操纵模型的输出，使其偏离原本的设计目的。

一道典型的RSA 密钥恢复题目，具体来说，它是利用高精度浮点数泄露来还原私钥参数的题目，这道题之所以会发生泄露，核心原因在于：题目给出的十进制小数精度远大于还原分数所需的信息量。

2025铸剑杯线下赛第二部分是渗透，其中包括web渗透和大模型安全。这道题其实是2023年中国科学技术大学Hackergame的一道题目改编的，大差不差。第一次接触大模型安全，学到了学到了。

pgAdmin在受影响版本中，由于Query Tool及Cloud Deployment功能实现中直接通过eval()解析传入参数，导致存在任意代码执行漏洞。

AES是对称加密算法，在逆向中常常使用到，白盒AES算法详解这篇文章写的非常好，通俗易懂。但是我在原理到代码的过程经常会卡壳，因此结合C语言代码浅析一下算法。

在glibc2.34以后取消了__free_hook以及__malloc_hook，因此需要找到一个可以控制程序执行流程的函数指针代替__free_hook以及__malloc_hook。

整个流程就是攻击方不断发送不同类型的钓鱼邮件，防御方在识别的过程中逐渐学习，而攻击方也会记录哪些内容更容易成功，从而倾向选择这些高成功率内容。

给组里的本科生讲一讲恶意软件，以及如何识别恶意软件。卷积神经网络（CNN）是一种深度学习模型，特别适用于处理图像和视频等数据。CNN包括：卷积层、激活层、池化层、全连接层。