- 博客(22)
- 收藏
- 关注
RSS订阅原创 AirPosture | 通过 AirPods 矫正坐姿
体态健康很重要,但坚持调整习惯并不容易。借助AI体态检测工具,不仅可以及时发现自己的坐姿问题,还能让改善变得简单高效。赶快试试,让健康成为你的新习惯!
2025-06-09 20:34:14
278
原创 一站式直播工具:助力内容创作者高效开启直播新时代
近年来,随着互联网技术的不断进步和短视频、直播行业的爆发式增长,越来越多的企业和个人投入到直播电商、互动娱乐、在线教育等场景。通过直观的数据面板,用户可以实时监控直播间的观众数、弹幕互动、带货转化等关键指标,辅助运营决策。同时,还可设置自动回复,提升互动体验。工具预设了常用的自动化任务模块,如定时推送活动、自动抽奖、弹幕抽选、数据定时备份等,用户可根据需求配置触发条件和执行内容,实现运营流程自动化。工具支持多用户协作和权限分级,管理员可根据团队实际分工,细化各成员的功能操作权限,保障数据安全和操作规范。
2025-06-04 20:35:29
928
原创 Client-Side Path Traversal 漏洞学习笔记
Client-Side Path Traversal(CSPT)则是指发生在客户端(通常是浏览器端JS代码)对路径参数未做严格校验时,导致攻击者可以通过构造诸如`../`等特殊字符串,影响客户端发起的请求路径,实现跨目录甚至跨站点的数据访问、CSRF或XSS等攻击。
2025-06-01 10:51:11
1141
原创 Mac用户必备:Pearcleaner让你的应用卸载更彻底、更安全
Pearcleaner是一款免费、开源的Mac应用清理工具,专注于帮助用户彻底清理不需要的应用程序及其相关文件。它的设计灵感来自知名的AppCleaner,但增加了更多现代化功能和隐私保护特性。
2025-05-24 10:52:44
389
原创 点击劫持漏洞学习笔记
点击劫持是一种精心设计的攻击技术,攻击者通过视觉欺骗的方式,诱导用户在不知情的情况下点击恶意内容。这种攻击方式利用了Web界面的视觉特性,通过巧妙的界面重叠,使用户的操作被转移到隐藏的恶意元素上。UI重定向是点击劫持最基础也是最常见的技术。隐形框架是点击劫持的另一个重要实现方式,它主要利用iframe元素的特性来实现攻击目的。现代浏览器的XSS过滤机制有时可能被利用来协助点击劫持攻击。这是一种更为复杂的攻击方式,通常涉及到多层界面交互的操作。
2025-05-20 19:55:13
502
原创 CSV注入攻击技术解析
CSV注入作为一种新型的安全威胁,虽然不如SQL注入那样历史悠久,但其危害性和可行性不容忽视。本文通过对GitHub项目PayloadsAllTheThings中CSV注入相关内容的分析,结合实际案例和技术细节,系统地介绍了CSV注入的原理、利用方式及防御措施。CSV注入的核心危害在于利用电子表格软件的自动解析功能,将普通文本转换为可执行的命令或函数。攻击者通过构造特定格式的载荷,能够在用户打开CSV文件时触发恶意行为,包括命令执行、数据窃取和钓鱼攻击等。
2025-05-13 21:46:58
671
原创 Deepwiki: GitHub代码库的智能知识图谱构建器
最近在研究开源项目架构时,偶然发现了一个名为DeepWiki的GitHub智能分析平台。这个由Devin团队开发的工具,通过AI技术将复杂的代码世界转化为三维认知图谱,为开发者提供了一种全新的代码理解方式。以下是基于实际使用体验的技术解析。
2025-04-29 07:55:00
677
原创 CRLF注入攻击学习笔记
CR(回车符 \r,ASCII 13):将光标移动到当前行的开始位置LF(换行符 \n,ASCII 10):将光标移动到下一行这两个字符在HTTP协议中具有特殊的意义,它们共同构成了HTTP头部字段之间的分隔符。
2025-04-12 14:52:23
672
原创 深度解析 WeClone:打造你的数字分身
使用微信聊天记录微调大语言模型,使用微信语音消息大模➕0.5B大模型实现高质量声音克隆,并绑定到微信机器人,实现自己的数字分身。
2025-04-06 11:11:43
2389
原创 IDA MCP Server:让大语言模型读懂IDA静态分析
在逆向工程和二进制分析领域,IDA Pro一直是最受欢迎的静态分析工具之一。随着人工智能技术的发展,特别是大语言模型(LLM)的出现,如何让AI辅助逆向分析成为了一个新的研究方向。IDA MCP Server项目正是为了解决这个问题而生,它提供了一个桥梁,让大语言模型能够直接理解和分析IDA数据库中的内容。IDA MCP Server是一个Model Context Protocol服务器,专门用于实现IDA Pro的交互和自动化。
2025-03-28 23:46:44
2075
原创 告别繁琐!这个开源神器让文件转Markdown变得如此简单
在2025年3月21日,GitHub用户xxnuo发布了一个创新性的开源项目 —— serverless-markdown-convertor。该项目采用了现代化的Serverless架构,结合了Cloudflare Worker和AI技术,为文档转换提供了一个全新的解决方案。
2025-03-23 09:19:24
747
原创 IIS Machine Keys 安全风险详解
ASP.NET 应用程序中的machineKey配置对安全性至关重要。它用于加密和解密 forms 身份验证 cookie 数据、ViewState 数据,以及验证进程外会话状态标识。一旦machineKey泄露或配置不当,可能导致严重的安全性问题,例如身份伪造、数据篡改甚至远程代码执行。
2025-03-20 23:04:14
1087
原创 API 密钥和令牌泄漏笔记
随着互联网应用的广泛普及,越来越多的系统依赖 API 密钥和令牌来进行用户验证和授权。API 密钥和令牌在各种 Web 应用、移动应用及微服务架构中都有重要作用。然而,一旦这些关键信息泄露,攻击者便可能利用它们直接访问敏感数据、篡改系统配置,甚至全面控制受影响的应用程序。近年来,越来越多的安全事件和数据泄露事故都与 API 密钥和令牌的不当保护有关。在 API 安全领域,泄露问题已成为一个亟待解决的重要问题。
2025-03-20 07:56:02
689
原创 Cobalt Strike Profile 学习记录
此处以最新版 jquery-c2.4.3.profile 为例,学习记录各项配置的作用。部分配置尚未研究清楚适用场景,后续继续学习再补充。cobalt strike 4.3 官方文档:https://cobaltstrike.com/downloads/csmanual43.pdf提示关于参数与值:profile 文件将参数括在双引号中,而不是单引号中。例如:正确: set useragent "SOME AGENT"; 错误: set useragent 'SOME AGENT'; 一些
2021-04-21 17:01:22
2995
1
原创 快速生成钓鱼木马
项目地址:https://github.com/darkb1rd/DarkGld/项目基于https://github.com/EddieIvan01/gld项目二次开发,仅用于交流学习,禁止用于非法活动。为什么写这个项目?在每年的大型多人运动中,钓鱼无疑是快速进入内网的一种手段。当我们批量发送同一个钓鱼木马时,目标上线时间不统一,一旦某个目标操作敏感,导致程序被标黑,其他目标很可能会同时掉线。所以就萌生了写个程序快速生成钓鱼木马,从而在钓鱼的时候发送hash不同的木马。 直...
2021-02-08 16:07:58
1932
2
LiveWallpaperMacOS v1.3 版本
2025-05-28
Pearcleaner v4.4.4 版本
2025-05-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人