- 博客(24)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 人工渗透测试已死?AI Agent 登场后,网安圈的「饭碗」还保得住吗?
人工渗透测试已死?AI Agent 登场后,网安圈的「饭碗」还保得住吗?
2026-03-25 08:53:03
294
原创 OpenClaw 安全使用实践指南:构建安全的 AI Agent 环境
OpenClaw 安全使用实践指南摘要 本文详细介绍了OpenClaw AI Agent框架的安全风险与防护措施。主要内容包括: 常见风险:工具滥用、Prompt注入攻击、数据泄露和权限提升 安全配置:最小权限原则、沙箱执行、prompt-guard防护、敏感数据加密 使用规范:敏感操作检查清单、群聊安全准则、子代理管控 监控响应:实时日志审计、异常行为检测、应急处理流程 最佳实践:启用HTTPS、限制工具权限、定期更新系统、实施备份策略。生产环境推荐使用严格的allowlist模式,并配合prompt-g
2026-03-25 08:36:11
305
原创 AI安全渗透测试技术深度分析
本文深入分析了AI系统的安全威胁与渗透测试技术,从提示注入、越狱攻击到供应链攻击等多个维度展开讨论。文章系统梳理了AI安全威胁全景图,详细介绍了各类攻击技术原理和实战方法,包括直接注入、角色扮演注入、分隔符混淆等提示注入技术,以及多轮操纵、内存投毒等高级攻击手段。同时提出了完整的AI系统渗透测试方法论,并给出防御与缓解措施建议,为AI安全研究提供了全面参考。
2026-03-24 11:11:37
337
原创 【Hx0战队】CTF实战技巧精粹:Web与内网渗透
本文总结了CTF竞赛中Web与内网渗透的核心实战技巧,涵盖SQL注入、XSS攻击、SSRF漏洞、反序列化利用等Web安全技术,以及内网渗透、域攻击链等高级技术。重点介绍了MySQL/MSSQL注入方法、XSS绕过技术、SSRF内网穿透技巧、反序列化漏洞利用链构建、内网横向移动策略、域渗透攻击流程等实用内容,并附有工具速查表。文章采用大量实战代码示例和决策流程图,适合CTF选手、渗透测试人员和安全研究人员快速掌握高级攻防技术。
2026-03-24 09:00:59
298
原创 《Hx0鹰眼:一款无需系统代理的全栈式轻量抓包与AI审计扩展》
Hx0鹰眼是一款轻量级浏览器扩展工具,支持Chrome/Firefox等主流浏览器,提供抓包拦截、流量重放、Fuzz测试和AI安全审计功能。其核心优势包括:无需代理配置即可使用,保持与当前标签页完全一致的会话状态,内置敏感信息检测和暗链扫描功能,并支持AI智能分析(可对接自有模型)。相比传统代理工具,Hx0鹰眼更轻量、易用,特别适合日常研发调试和安全初筛工作。该工具将完整的安全测试工作流集成在浏览器侧边栏中,显著降低了上下文切换成本。
2026-03-23 23:40:28
924
原创 警惕!“越聊越笨“:深度解析LLM多轮对话性能崩塌的四大元凶
微软研究院最新研究揭示,大模型(LLM)在多轮对话中可靠性会从单轮的95%骤降至45%,但能力仅下降15%。主要原因是注意力机制的U型偏置、计算复杂度指数增长、错误累积效应及对话历史碎片化表示。实验显示GPT-4o等多轮准确率下降超30%。应对策略包括对话压缩、RAG增强记忆、结构化Prompt设计和定期会话重启。研究强调需理解模型物理限制,采用工程化方法管理对话状态,以提升AI系统的可靠性。
2026-01-31 14:45:06
711
原创 一款 AI 驱动的新一代安全运维代理 —— DeepSentry(深哨)
DeepSentry是Hx0团队开发的智能化安全排查与运维Agent,集成了大语言模型(LLM)的决策能力,支持自然语言交互,可自动执行本地或远程主机的安全任务。
2026-01-31 09:42:48
1113
原创 2026年网络安全行业职业发展预测:五大高薪方向布局正当时
2026年网络安全行业仍是“黄金赛道”,但技术迭代加速,需聚焦细分领域、夯实实战能力,避免被AI驱动的攻防逻辑淘汰。
2026-01-12 15:12:55
994
原创 2026年网络安全行业展望:AI重塑攻防格局,合规与韧性成关键
2026年网络安全行业将迎来AI驱动下的深度变革。随着市场规模扩大,AI技术成为攻防核心,智能攻击激增的同时,AI防御平台加速落地。新版《网络安全法》实施将推动企业转向主动防御,量子计算和供应链安全重构行业基线。全球网络安全人才缺口达480万,新兴领域需求旺盛。未来行业竞争将聚焦数字韧性建设,要求企业在技术、合规与生态协同方面综合发力。从业者需持续学习以应对快速演变的威胁环境。
2026-01-12 14:59:14
725
原创 全网首发!支持MCP协议的AI智能体FofaMap v2.0,让资产测绘拥有“自我反思”能力
FofaMap v2.0 是一款基于 Python3 开发的全网首个 AI 驱动红队资产测绘智能体。在延续原有 FOFA 数据采集、存活检测、统计聚合、图标 Hash 及批量查询等核心功能的基础上,2.0 版本原生支持 MCP 协议,可无缝接入 Cursor、Claude 等 AI 平台。其核心内置了 AI 自我反思机制,能根据查询结果自动调优语法,并智能联动 Nuclei 推荐精准扫描策略,实现从“被动采集”到“主动智能决策”的红队作业进化。
2026-01-10 07:43:06
1150
原创 AI 智能答题助手 (AI Study Copilot) —— 你的下一代学习辅助神器
您的专属AI学习伴侣。一键识别并分析网页中的复杂内容,支持跨域框架与静态文本的深度提取。内置DeepSeek智能引擎,开放自定义模型配置(支持OpenAI/本地模型),打破使用限制。通过智能题型识别与结构化解析,让在线学习与资料查询更轻松、更高效。
2026-01-04 16:40:52
1061
原创 CTF夺旗神器:FlagHunter自动捡漏Flag
FlagHunter是一款专为CTF比赛开发的智能Flag搜索工具,由Hx0战队用Python3开发。它能实时监控指定目录,自动扫描新增或修改的文件,快速识别多种格式的Flag(包括明文、Base64、十六进制等编码)。工具具有高性能扫描引擎、彩色输出、自定义规则配置等功能,帮助选手在签到题、附件题等场景中快速发现非预期解。所有发现的Flag会实时显示并保存到日志文件。该工具旨在解决CTF比赛中手动搜索Flag效率低下的问题,让选手不再错过任何得分机会。使用时需遵守法律法规,仅限合法竞赛用途。
2025-10-24 17:30:26
511
原创 一款高效实用的浏览器刷课插件——细雪之舞 · 刷课神器
【摘要】细雪之舞·刷课神器(SnowbladeDance)是一款专为在线学习设计的高效浏览器插件,提供一键秒课、精准倍速控制(0.5x-16x)、全局/单页静音暂停、解除网页限制、防挂机超时等核心功能。采用琉璃拟态UI设计,实时状态显示,支持自定义导航。已通过Chrome和Firefox官方审核,遵循最小权限原则保障隐私安全。适用于学生、职场人士等需要高效完成在线课程的用户群体,下载即用,显著提升学习效率。
2025-06-04 13:29:56
12505
原创 【Events_Monitor】一个全场景服务器高危行为监控工具
随着网络安全问题日益严峻,各单位的系统每时每刻都面临着各种潜在的风险和挑战。我们经过调研,发现目前市场上很少有针对服务器高危行为的实时监控告警工具。为了增强网络安全和监控能力,我们设计了一个全场景的"events_monitor"服务器高危行为监控工具。该脚本的目标是实时监控和告警服务器上的高危行为,例如账号登录、登出、新增、删除等操作。通过实时监测服务器端的高危行为,我们能够及时感知潜在的安全威胁,并增强对安全事件的监控能力。
2024-06-20 11:18:17
1507
原创 Zip伪加密破解神器——ZipCracker
ZipCracker是一款由Hx0战队开发的高性能多并发破解工具,专为破解密码保护的Zip文件而设计。它采用CRC32碰撞和字典攻击方式猜测Zip文件的明文或密码,并能成功提取其中的内容。这款工具具备识别"伪加密"Zip文件的能力,并能自动进行修复。因此,它非常适合在CTF比赛中使用。1.程序会自动检查加密压缩包中的文件大小,若小于6字节,会主动询问用户是否使用CRC32进行Hash碰撞。2.程序自带6000个常用的爆破字典,同时还会生成0-6位的纯数字字典。
2023-07-30 12:01:57
22351
7
原创 手机号字典生成神器——让天下没有难用的手机号字典
本工具可根据用户需求定制化生成各大运营商和指定区域的手机号字典。用户只需输入所需生成的手机号数量、运营商类型、区域范围等信息,即可快速生成符合要求的手机号字典。
2023-06-01 22:07:09
10400
2
原创 FofaMap云查询版
FofaMap云查询版是基于C/S架构打造的Fofa查询神器,您仅需配置好一个服务端,即可实现多个客户端同时在线查询,其客户端支持FofaMap春节版全部功能。
2022-02-07 19:32:10
1323
原创 【FofaMap国庆特别版】让你在挖洞路上快人一步
FofaMap_V1.1.0 春节特别版【联动 Nuclei】FofaMap是一款基于Python3开发的跨平台FOFA数据采集器。用户可以通过修改配置文件,定制化的采集FOFA数据,并导出生成对应的Excel表格或TXT扫描目标。Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。本次我们将Fofamap和Nuclei进行联动,通过Fofamap查询到资产目标后,自动调用Nuclei对发现目标进行漏洞扫描,实现资产探
2022-01-14 19:54:06
4587
原创 Nuclei——一款基于YAML语法模板的快速漏洞扫描工具
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。
2022-01-09 17:00:50
53862
5
原创 FofaMap——一款基于Python3开发的跨平台FOFA数据采集器
FofaMap_V1.0.0下载地址FofaMap是一款基于Python3开发的跨平台FOFA数据采集器。用户可以通过修改配置文件,定制化的采集FOFA数据,并导出生成对应的Excel表格。一.安装说明1.工具使用Python3开发,请确保您的电脑上已经安装了Python3环境。2.首次使用请使用python3 -m pip install -r requirements.txt命令,来安装必要的外部依赖包。3.fofa.ini为Fofamap的配置文件,可以通过修改配置文件内容..
2021-12-29 16:49:08
6475
2
原创 安徽公司红蓝军训练营-WriteUp&Docker复现
一、前期准备根据比赛规则所知,这是一道综合web渗透题,题目一共包含5个flag。首先我们访问靶场地址:http://192.168.60.5通过分析可以得出,该网站为一个个人博客,使用的CMS是WordPress5.8.2,编程语言是PHP,数据库是MySql,操作系统是Debian,使用的WordPress主题是Zakra。接着我们使用nmap对该IP进行目录扫描:发现该IP仅开放了80(sql)和3306(mysql)端口,因此判断flag可能就藏在WordPress网
2021-12-21 08:51:42
4750
3
【PwnKit】CVE-2021-4034-Linux提权脚本
2022-01-27
【极简PHP流量抓取工具-Traffic-适用AWD攻防比赛抓包】
2021-12-03
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人