2024-04-21 微信公众号精选安全技术文章总览
洞见网安 2024-04-21
安全引擎 2024-04-21 20:57:21
Meta公司最近发布了Llama 3,这是开源领域中最新的大型语言模型。Llama 3包含8B和70B两种参数规模的模型,共有8B、8B-instruct、70B、70B-instruct四个版本。8B和70B是预训练模型,而带有instruct后缀的模型经过指令微调,适用于对话任务。还有一个400B版本的Llama 3正在训练中,尚未公开。Llama 3的词汇表已提升至128K,上下文长度提升至8K。NVIDIA官网已经上线了Llama3的在线体验,HuggingFace也提供了Llama3-70B版本的在线体验。用户可以使用Ollama将模型部署到本地,运行命令ollama run llama3即可启动8B的4bit量化版。在M1 Max芯片上实测,输出速度可达每秒30个英文字符。此外,还可以通过Open-WebUI在Web页面中体验Llama 3,或使用ChatGPT-Next-Web支持的ollama本地API。用户也可以从官网或HuggingFace下载原始模型文件进行手动部署。下载模型需要通过HuggingFace或Meta官网的申请流程,然后从GitHub上拉取llama3项目代码并下载模型。对于没有NVIDIA显卡的Macbook用户,可以使用llama.cpp项目进行适配和转换,包括编译安装、模型转换和运行。Llama 3 8B-Instruct模型转换后的文件大小为32GB,可以选择量化或直接运行。此外,Llama 3还可以应用于AI知识库场景,例如结合Obsidian笔记使用。
百灵鸟安全团队 2024-04-21 18:03:22
本文介绍了关于C2代理的不同类型及其应用场景。根据ATT&CK框架,C2代理可分为内部代理、外部代理、多跳代理、域前置代理。内部代理用于控制受感染环境内的流量,减少连接数量,隐藏C2流量目的地。外部代理则通过中介与C2服务器通信,规避直接连接。多跳代理将多个代理链接在一起,增加追踪难度。域前置代理利用CDN混淆流量目的地,实现隐蔽性。文章还介绍了Beacon代理配置以及域前置代理的操作流程。总的来说,C2代理的主要目的是规避安全设备检测、隐藏真实IP,在实战中有着广泛应用。
寒鹭网络安全团队 2024-04-21 15:32:23
API测试涵盖了多个方面,包括利用API文档进行攻击、利用URL查询字符串进行服务器端参数污染、发现和利用未使用的API端点、以及利用大量分配漏洞。文章中提到了多种攻击技术和方法,如使用HTTP方法构造有效请求、利用JSON格式探针探测错误、利用路径遍历序列尝试更改请求等。通过分析实验室问题,读者可以学习到识别API文档、发现隐藏的API端点、识别和利用服务器端参数污染、以及利用大量分配漏洞的技能。每个实验都提供了所需的先决知识和步骤,使读者能够理解和实践相关的网络安全技术。该文还提供了多个参考文章,以便读者进一步学习和深入研究相关主题。
WK安全 2024-04-21 10:00:10
本文分析了某综合管理系统的漏洞情况。首先介绍了web.xml的作用及配置内容,包括Servlet、Filter、Listener、错误页面和上下文参数配置,以及安全约束。接着讨论了项目使用的技术框架和权限验证流程,指出了权限校验的漏洞,包括对URL后缀的验证不严谨,导致了权限绕过漏洞。然后详细分析了几个存在漏洞的jsp文件,指出了未对用户输入的参数进行适当处理可能导致的SQL注入漏洞。文章最后提及了圈子介绍和相关优惠链接。总体而言,文章对该系统的漏洞问题进行了全面分析,提出了相关修复建议。
技术修道场 2024-04-21 09:22:14
