AI在电子邮件安全中的角色新的研究揭示了人们对AI在电子邮件安全方面角色的看法发生了重大转变。网络犯罪分子正在迅速采用对他们有利的AI工具，91.1%的企业报告他们已经遇到了AI增强的电子邮件攻击，84.3%的AI预计AI将继续被用来绕过现有的安全系统。因此，来自AI支持的保护比以往任何时候都更加重要。在过去的12个月里，受访者认为AI对他们的电子邮件防御“极其重要”的比例增加了4倍以上，几乎所有企业都希望AI对他们的电子邮件防御具有中等或极其重要的作用。人们对AI威胁的日益增长的看法与过去一年登上头条的LLM和AIGC服务(如ChatGPT)的日益增长是一致的。电子邮件安全仍是重中之重相对于

目录前言：（一）SQL注入0x01 sqlmap注入修改user-agent头：（二）文件上传

实战绕过WTS-WAF的SQL注入1.前言2.测试流程2.1.发现漏洞2.1.1.正常页面2.1.2.WAF警告2.1.3.非正常页面2.2.判断字段数2.2.1.非正常页面2.2.2.正常页面2.3.判断回显位2.4.信息收集2.4.1.数据库版本2.4.2.数据库名2.5.判断数据库表2.5.1.WAF告警2.5.2.获取表2.5.3.burpsuite测试2.5.4.表名称2.6.判断数据库列2.7.获取数据2.7.1.账户2.7.2.密码3.总结1.前言  本人在做完测试了，所保留的信息均已删除且未保留，只是友好的测试，并非有意为之。若侵权请联系我进行删帖。2.测试流程2.1.发现漏洞

Fastjson漏洞Fastjson简介Fastjson是阿里巴巴公司开源的一款JSON解析器，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。历史漏洞FastjsonFastjson第一个Fastjson反序列化漏洞爆出后，阿里在1.2.25版本设置了autoTypeSupport属性默认为false，并且增加了checkAutoType()函数，通过黑白名单的方式来防御Fastjson反序列化漏洞，因此后面发现的Fastjson反序列化漏洞都是针对黑名单绕过来实现攻击利用的目的的。com.sun.rowset.

新的研究结果表明，攻击者可以利用一种隐匿的恶意软件检测规避技术，并通过操纵Windows容器隔离框架来绕过端点安全的解决方案。DeepInstinct安全研究员丹尼尔-阿维诺姆（DanielAvinoam）在本月初举行的DEFCON安全大会上公布了这一发现。Microsoft的容器体系结构（以及扩展的Windows沙盒）使用所谓的动态生成的映像将文件系统从每个容器分离到主机，同时避免重复系统文件。Avinoam一份报告中说：它只不过是一个“操作系统映像，其中包含可以更改的文件的干净副本，但链接到主机上已存在的Windows映像中无法更改的文件”，从而降低了完整操作系统的整体大小。结果就是包含'

Web攻防--JS算法逆向--断点调试--反调试&&代码混淆绕过JS算法逆向在进行渗透测试过程中，在一些功能点进行参数注入或者枚举爆破等过程中，会出现参数进行加密的情况，但是我们输入参数并不是加密状态，即便测试点存在漏洞也不可能测试成功，这时候便需要将所提交参数进行加密后在进行注入，针对JS应用我们可以采用JS断点调试的方法将加密算法逆向出来，再使用插件将加密后的参数进行注入代码全局搜索即将参数提交的网址、目录等关键字在开发者工具中进行搜索，再对JS源码进行分析，找出加密算法文件流程断点即查看登录数据包中所调用执行堆栈，文件执行流程为从下往上执行，选用其中可能存在加密过程的文件处进行断点调试添

背景随着移动应用的广泛普及，恶意软件也日趋复杂和隐蔽。本报告着眼于一个由ReBensk提交至incinerator.cloud的恶意Android软件样本。样本哈希值：MD5:2f371969faf2dc239206e81d00c579ffSHA-256:b3561bf581721c84fd92501e2d0886b284e8fa8e7dc193e41ab300a063dfe5f3在ReBensk提交至incinerator.cloud的多个恶意样本中，我们特别关注了一款经过自定义修改的APK文件，以下简称为“样本b356”。这个样本采用了独特的混淆和隐蔽技术，导致标准的解压缩工具无法成功解压

一、FastJson介绍​Fastjson是阿里巴巴的开源SON解析库它可以解析JSON格式的字符串，支持将javaBean序列化为ISON字符串，也可以从JSON字符串反序列化到JavaBean。Fastjson的优点速度快fastjson相对其他JSON库的特点是快，从2011年fastjson发布1.1.版本之后其性能从未被其他ava实现的]SON库超越使用广泛fastjson在阿里巴巴大规模使用，在数万台服务器上部署，fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一测试完备fastjson有非常多的testcase，在1.2.11版本中，test

当前漏洞环境部署在vulhub,当前验证环境为vulhub靶场（所有实验均为虚拟环境）实验环境：攻击机----kali靶机：centos71、进入靶场，启动环境2、访问AppWeb控制台：http://your-ip:8080使用用户名、密码admin访问访问失败3、抓包，使用用户名、密码admin4、只保留用户名参数，发包（需取消用户名上的引号，不然发包之后无回显）Authorization:Digestusername=admin5、将session添加过来，继续发包-http-session-=1::http.session::c3ee31bd39ccb98a7b1f2c49fc4cf3

信息打点-CDN绕过文章目录信息打点-CDN绕过本节思维导图相关链接&工具站&项目工具前置知识：CDN配置：配置1：加速域名-需要启用加速的域名配置2：加速区域-需要启用加速的地区配置3：加速类型-需要启用加速的资源判定是否有CDN&CDN识别CDN绕过常见方法：CDN绕过-子域名CDN绕过-主动漏洞&遗留文件1、漏洞如：SSRFRCE等2、遗留文件：phpinfo类似功能CDN绕过-邮件系统让他主动给你发：你给未知邮箱发：（需要自己的邮件服务器不能第三方）CDN绕过-接口查询CDN绕过-全网扫描总结本节思维导图相关链接&工具站&项目工具超级Ping：http://www.17ce.com/超