Strive for lofty goals
目录 AI、LLM、AgentAI Security数据投毒攻击模型对抗攻击模型窃取prompt injection(提示词注入)提示词泄漏越狱指令干扰修改记忆/上下文干扰RCEDoS问答数据窃取文件中含有恶意提示词网站中含有恶意提示词数据传输外部 AI、LLM、Agent ChatGPT、Gemini、通义千问等大语言模型LLM都使用过,他让我们能够通过自然语言了解各种我们原先需要自主检索的知识,相当于我们可以随时和一个知识面极广的人交流任何问题。交互主要通过问答形式,根据我们的问题(Prompt)进行回答,问题问的好不好决定了回答的质量。但他无法做一些知识问答以外的事情,比如帮我分析一个网站是否安全。 分析一个网站是否安全需要用到很多工具(可以是插件、API、代码等),如果让LLM拥有调用这些工具的能力,就能够实现知识问答以外的能力。LangChain...
目录 第一章 总则第二章 一般规定第三章 个人信息保护第四章 重要数据安全第五章 网络数据跨境安全管理第六章 网络平台服务提供者义务第七章 监督管理第八章 法律责任第九章 附则 第一章 总则 第一条 为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。 第二条 在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。 在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。...
早期当我们在生产环境上线了RASP后,发现其还是能够不断的被绕过,只是从原来的WAF流量层面的对抗到了应用内部视角。后来我们放弃了基于攻击特征的黑名单防御模式,逐步转变为基于应用行为特征的白名单模式,也就是我们内部所说的“应用可信”。 在应用可信的建设过程中,我们的可信力度也逐渐在加深,从最开始的命令执行可信,到网络访问可信、文件读写可信,再到后来的反射、库加载、类加载、线程注入、JNDI访问、反序列化、表达式注入、动态脚本、内存马等等,至此已经能免疫各种常规的0day漏洞了,比如Log4j RCE、Fastjson RCE、SSRF等等。...
密码是网络世界中识别你身份的钥匙,目前还存在大量弱口令或密码被盗导致的攻击事件。历史上大量网站被黑客攻击导致账号密码数据库泄漏,您的账号密码一定出现在某次泄漏中。 最常见的密码 泄漏的账号密码数据中,最常见的密码是什么? 连续数字/字母,比如123456、abcdefg 重复数字/字母,比如111111、666666、88888888、aaaaaa 简单单词,比如password、iloveyou、letmein、mima、secret 和账户名相同,比如admin、root、demo、administrator 键盘顺序字母,比如qwert、qaxwsx、zxcvbnm 生日,比如951023、1995123 简单组合或改变大小写,比如admin123、A123456、Password、abc123 密码安全最佳实践...
通过电子邮件进行社工钓鱼,可以实现数据和资金的盗取。大部分的APT攻击都是通过电子邮件的方式开始的,包括勒索软件、转账欺诈、恶意软件等攻击场景。 开始前可以学习下关于电子邮件攻击技术: 电子邮件伪造实践 安全意识的提升并不能完全杜绝,因此应实施电子邮件安全最佳实践。 个人电子邮件安全实践 网络、软件和设备 使用普及度高的邮件服务商。收入更多,对应投入的安全资源也更多。往往意味着攻击他们的成本更高,对应安全性也更高。优先选择Gmail、腾讯邮箱。 保持邮件客户端处于最新版本。 设备与网络 保持手机、电脑、路由器和所有联网设备处于最新状态,并更改默认密码。 不要使用公共Wi-Fi 离开电脑时,记得锁屏。 不要借电脑给他人。 保护账户 通过入侵获取邮箱账户权限,从而收集日历、联系人、组织架构、文件和历史邮件各种信息的访问权限。 强制开启邮箱登陆二次验证(扫码、短信、Google Auth)...
信息来源:暗网、公开社工库、HIBP。
Strive for lofty goals