Why the pentesting playbook doesn’t fit: belief, assumptions, and non-determinism 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容，理解其主要观点和结构。 文章是关于AI系统安全测试的系列文章的第一篇，作者是Hussein Bahmad。文章讨论了传统安全测试方法在AI系统中的不适用性，特别是因为AI系统的非确定性和动态攻击面。传统测试基于确定性输入输出，而AI则依赖训练数据、推理输入和环境等因素，导致行为不可预测。 文章还提到攻击向量如提示注入、数据中毒等，并强调了监管要求如欧盟AI法案。作者认为需要新的测试方法，关注行为边界和防御深度。 接下来，我需要将这些要点浓缩到100字以内。要抓住关键点：传统测试不适用的原因、AI系统的特性、攻击向量、监管影响以及新方法的需求。 可能的结构：介绍主题，说明传统方法的问题，提到攻击类型和监管，最后指出解决方案的方向。 现在组织语言：确保简洁明了，涵盖所有关键点。 </think> 本文探讨了传统安全测试方法在AI系统中的局限性。由于AI系统的非确定性和动态行为（受训练数据、推理输入及环境影响），传统基于确定性输入输出的测试方式失效。攻击如提示注入、数据中毒等难以检测，且监管要求（如欧盟AI法案）强调需针对行为边界和防御深度进行测试。文章指出需采用新方法应对这些挑战。... 2026-3-27 08:22:8 | 阅读: 10 | 收藏 | NVISO Labs - blog.nviso.eu security injection adversarial assumptions

Ivanti EPMM ‘Sleeper Shells’ not so sleepy? 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写描述，不需要特定的开头。首先，我得通读整篇文章，抓住主要信息。 文章讲的是2026年1月，Ivanti EPMM被发现有两个远程代码执行漏洞，CVE-2026-1281和CVE-2026-1340。之后有公开的PoC出现。接着在2月9日，Defused博客提到利用这些漏洞部署了一个webshell，位于/mifs/403.jsp，但没有动态命令执行。他们称这个为Sleeper Shells和403.jsp活动。 NVISO在处理一起事件时发现设备被黑，日志显示使用了这些漏洞，并且发现了相同的webshell。他们观察到两种请求：一种带有k参数和k0f53cf964d387参数，另一种只带k参数。带k参数的请求中包含了四个不同的base64编码payload，解码后是Java类文件。这些类文件执行了数据库导出、文件归档和清理操作。 总结来说，攻击者利用漏洞部署webshell，通过两种方式发送命令：一种是静态命令（带k参数），另一种是未执行动态代码的（带两个参数）。虽然Defused认为后者是静默的，但实际中发现攻击者可能还在活跃。 现在需要把这些信息浓缩到100字以内。重点包括漏洞、PoC、webshell、两种请求类型、payload功能以及攻击者的活跃性。 可能的结构：时间、漏洞、PoC、webshell部署、两种请求类型及其作用、攻击者可能活跃。 确保语言简洁明了。 </think> 文章描述了Ivanti EPMM设备因远程代码执行漏洞被攻击的情况。攻击者通过漏洞部署了一个名为403.jsp的webshell，并利用两种类型的请求发送命令：一种仅包含k参数以执行预设的数据库导出和文件归档操作；另一种包含额外参数但未动态执行代码。尽管最初认为该活动较为静默，但实际观察显示攻击者可能仍在活跃。... 2026-3-13 15:43:53 | 阅读: 7 | 收藏 | NVISO Labs - blog.nviso.eu mifs mi 403 2026 webapps

Capture the Kerberos Flag: Detecting Kerberos Anomalies 好的，我现在需要帮助用户总结一篇文章的内容，控制在100个字以内。用户已经提供了文章的详细内容，所以我需要先仔细阅读并理解文章的主要内容。 首先，文章主要讨论了Kerberos协议在Windows Active Directory中的应用及其安全性。Kerberos是一个常用的认证协议，用于验证用户或主机的身份。由于其重要性，常常成为攻击者的目标，他们试图窃取或伪造Kerberos票证。 接下来，文章介绍了Kerberos的基本工作原理，包括KDC（Key Distribution Center）、AS（Authentication Service）和TGS（Ticket-Granting Service）的作用。然后，详细讲解了如何通过分析Windows事件日志中的特定事件ID（如4768）来检测可疑的Kerberos票证请求。 文章还深入探讨了如何解码和分析票证选项（TicketOptions），特别是通过十六进制值来识别可疑的标志组合。这些标志组合可能被攻击工具使用，从而帮助检测潜在的安全威胁。 最后，作者提供了一个KQL查询示例，用于在日志中查找包含特定可疑标志的票证请求，并讨论了未来的研究方向和改进措施。 总结一下，文章的重点在于通过分析Kerberos协议中的票证请求和标志组合来检测潜在的安全威胁，并提供了一个实用的查询方法。 </think> 该文章探讨了Kerberos协议的工作原理及其在Windows环境中的重要性，并介绍了如何通过分析事件日志中的特定标志组合来检测潜在的 Kerberos 滥用行为。... 2026-2-12 08:48:30 | 阅读: 7 | 收藏 | NVISO Labs - blog.nviso.eu renewable windows 4768

An introduction to automated LLM red teaming 好的，我现在要帮用户总结一篇文章的内容，控制在100字以内。用户的要求很明确，不需要特定的开头，直接写文章描述即可。首先，我需要通读整篇文章，理解其主要内容和重点。 文章主要讨论了大型语言模型（LLMs）在实际应用中的安全问题，比如客服聊天机器人、代码助手和文档分析工具。它提到了LLM红队测试的重要性，这种测试不同于传统软件安全测试，主要针对提示注入攻击、数据泄露、越狱尝试等独特挑战。 接着，文章介绍了如何使用Promptfoo CLI工具自动化检测ChainLit应用中的漏洞。Promptfoo通过插件和策略模块化地测试各种漏洞，并展示了实验结果，说明了策略对提高攻击成功率的作用。 最后，文章强调了自动化红队测试的重要性，并指出随着LLMs深入生产环境，将它们视为具有动态输入和攻击面的系统是基本安全要求。 总结时需要涵盖这些要点：LLM的安全问题、红队测试的定义与分类、Promptfoo工具的作用以及实验结果。同时要确保语言简洁明了，不超过100字。 </think> 文章探讨了大型语言模型（LLMs）在实际应用中的安全风险及应对方法。通过LLM红队测试（LLM red teaming），系统性地识别模型漏洞和潜在威胁。文章以ChainLit应用为例，展示了如何利用Promptfoo工具自动化检测访问控制漏洞，并通过实验结果说明策略对提升攻击成功率的作用。... 2026-2-5 10:54:4 | 阅读: 1 | 收藏 | NVISO Labs - blog.nviso.eu llm security teaming promptfoo

Rootless Containers with Podman 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写文章描述，不需要开头的总结语。 首先，我仔细阅读了用户提供的文章。文章主要介绍了容器化技术及其在现代数字基础设施中的重要性，特别是Podman这个容器引擎。Podman是一个无守护进程、无root权限的容器运行时，支持SELinux和用户命名空间，增强了安全性。此外，文章还讨论了Podman与Docker的区别、OCI标准的遵循以及在Kubernetes中的应用。 接下来，我需要将这些关键点浓缩到100字以内。重点包括容器化技术的优势、Podman的安全特性、与Docker的区别以及其适用场景。 最后，确保语言简洁明了，直接描述文章内容。 </think> 本文介绍了容器化技术及其在现代数字基础设施中的重要性，并重点介绍了Podman这一无守护进程、无root权限的容器引擎。Podman通过SELinux和用户命名空间提供增强的安全性，并支持OCI标准以实现跨平台兼容性。与Docker相比，Podman减少了攻击面，适用于安全要求高的企业环境。... 2026-2-3 08:6:49 | 阅读: 10 | 收藏 | NVISO Labs - blog.nviso.eu podman containers security rootless network

ConsentFix (a.k.a. AuthCodeFix): Detecting OAuth2 Authorization Code Phishing 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要理解文章的内容。看起来这篇文章讲的是ConsentFix这种钓鱼攻击，利用OAuth2.0的授权框架，通过诱导受害者生成授权码，然后获取访问令牌，进而访问微软账户。 用户可能需要一个简洁明了的摘要，用于快速了解攻击机制和影响。他们可能对技术细节不太熟悉，所以总结时要避免使用太多专业术语。 接下来，我要提取关键点：攻击利用OAuth2.0，受害者被引导生成授权码并提交到钓鱼网站，攻击者用这个码获取访问令牌，从而入侵账户。同时，文章还提到了检测和缓解策略。 现在，我需要用简短的语言把这些点整合起来。确保不超过100字，并且直接描述内容，不使用“这篇文章”之类的开头。 最后检查一下是否涵盖了主要攻击步骤、影响以及应对措施。这样用户就能快速掌握文章的核心内容了。 </think> ConsentFix是一种基于OAuth2.0的钓鱼攻击技术，通过诱导受害者生成并提交授权码到恶意网站，获取访问令牌以入侵微软账户。该攻击利用第一方应用的信任机制和Conditional Access绕过特性，在受害者不知情的情况下窃取敏感权限。文章分析了攻击流程、检测方法及缓解策略。... 2026-1-29 08:14:4 | 阅读: 2 | 收藏 | NVISO Labs - blog.nviso.eu microsoft victim oauth2 phishing consentfix

OWASP Top 10 2025 – A Pentester’s Perspective 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户已经提供了文章的英文内容和一个示例的中文总结，我需要理解文章的主要内容，然后用简洁的语言表达出来。 首先，我会快速浏览文章，抓住主要观点。文章主要讨论OWASP Top Ten的发展变化，特别是第八版的更新。作者提到OWASP Top Ten每三到四年更新一次，最初于2003年发布，旨在突出Web应用的十大常见问题。最新的第八版有几个关键变化。 接下来，文章分析了OWASP Top Ten的变化趋势，包括类别的合并和扩大范围。例如，“Injection”和“XSS”合并为一个类别，“Broken Access Control”也整合了多个子类。这些变化表明OWASP更关注广泛的漏洞类别而非单一技术问题。 然后，文章讨论了“Shift-Left”趋势，即安全问题向开发阶段前移。早期版本主要关注技术漏洞如注入攻击，现在更多关注配置错误和设计缺陷。这反映了现代应用开发中使用框架和库的趋势，使得传统漏洞更难出现。 最后，文章指出OWASP Top Ten现在作为意识提升文档，而非测试标准，并推荐使用ASVS进行测试。这对渗透测试的影响是需要更全面的方法。 综合以上信息，我需要用简洁的语言概括这些要点：OWASP Top Ten的更新、类别的合并与扩大、Shift-Left趋势、以及其作为意识文档的角色。 </think> OWASP Top Ten每三到四年更新一次，最新第八版整合了多个类别并扩大范围；早期侧重技术漏洞如注入攻击，现转向配置错误和设计缺陷；Shift-Left趋势反映安全问题前移至开发阶段；现作为意识提升文档而非测试标准，并推荐使用ASVS进行测试。... 2026-1-9 08:28:3 | 阅读: 6 | 收藏 | NVISO Labs - blog.nviso.eu injection failures software security

Integrating Abuse Case Scenarios to Improve Authorization Testing 文章探讨了渗透测试中常被忽视的访问控制不足、IDOR（不安全直接对象引用）和业务逻辑缺陷等漏洞，强调通过理解应用流程和权限，并创建“滥用案例场景”来识别这些漏洞。通过真实案例展示了IDOR的发现过程，并提供了修复建议。... 2025-12-18 09:1:30 | 阅读: 9 | 收藏 | NVISO Labs - blog.nviso.eu idor security attachment

The Detection & Response Chronicles: Exploring Telegram Abuse 这篇文章探讨了威胁行为者如何利用 Telegram 的匿名性和可靠性，在不同攻击阶段进行恶意活动。通过分析近期案例，展示了 Telegram 在数据外泄、命令控制和成功监控中的滥用情况，并提供了检测查询和防御建议以应对此类威胁。... 2025-12-16 09:5:4 | 阅读: 8 | 收藏 | NVISO Labs - blog.nviso.eu c2 microsoft deerstealer nviso

Managing SIEM Log Collectors at Scale with Ansible and GitHub Actions – Part 1 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我得通读一下这篇文章。看起来是关于安全运营中心（SOC）和日志收集器的管理挑战，以及如何通过DevOps和基础设施即代码（IaC）来解决这些问题。 文章提到日志收集器对SIEM工具的重要性，如果收集器出现故障，SIEM就会失去输入，导致SOC无法及时检测到攻击或者响应速度变慢。所以，收集器的可用性和可靠性至关重要。 然后，文章讨论了手动管理收集器的困难和风险，比如配置漂移、证据完整性问题、检测质量下降以及攻击面扩大。这些都是关键挑战。 接下来，作者提出了一个解决方案：使用Ansible和GitHub Actions来自动化管理收集器。这样可以实现配置集中化、自动化部署、快速恢复、一致性设置等优势。整个架构包括GitHub仓库、Ansible控制节点和各个日志收集器服务器。 最后，作者强调了这种方法如何帮助SOC团队提高效率和安全性，减少人为错误，并使他们能够专注于更重要的任务。 总结起来，文章主要讲述了如何通过自动化工具来有效管理和优化日志收集器，从而提升SOC的整体安全性和运营效率。 </think> 文章探讨了安全运营中心（SOC）中日志收集器的重要性及其管理挑战，并提出使用Ansible和GitHub Actions实现自动化配置管理的解决方案。该方案通过集中化配置、自动化部署和快速恢复等功能，提升日志收集的可靠性和安全性，助力SOC更高效地应对威胁。... 2025-12-11 08:39:13 | 阅读: 11 | 收藏 | NVISO Labs - blog.nviso.eu collectors collector github playbooks ssh

Detection Engineering: Practicing Detection-as-Code – Tuning – Part 8 Detections should adapt to changes in the monitored environments. As organizations modify thei... 2025-11-25 08:40:0 | 阅读: 16 | 收藏 | NVISO Labs - blog.nviso.eu watchlist watchlists identify searchkey repository

Contagious Interview Actors Now Utilize JSON Storage Services for Malware Delivery NVISO reports a new development to the Contagious Interview campaign. The threat actors have rec... 2025-11-13 08:41:12 | 阅读: 20 | 收藏 | NVISO Labs - blog.nviso.eu github jsonkeeper pastebin npoint payload

Vulnerability Management – Process Perspective 本文详细探讨了漏洞管理的流程体系，包括治理、管理和运营三个层次。治理层设定战略方向与监督机制；管理层将战略转化为具体操作；运营层则通过检测、修复和报告三个循环实现持续改进。数据丰富化与责任联系是关键环节。... 2025-10-28 08:0:0 | 阅读: 41 | 收藏 | NVISO Labs - blog.nviso.eu asset security processes pp

Patching Android ARM64 library initializers for easy Frida instrumentation and debugging 文章介绍了一种将Android .so库转换为独立可执行文件的方法，通过移除.init_array并将其转换为普通函数，结合LIEF框架和JNIInvocation技术，在非Android环境中分析和调试受RASP保护的应用程序。... 2025-10-14 08:0:0 | 阅读: 94 | 收藏 | NVISO Labs - blog.nviso.eu jni library aarch64 lief

Vulnerability Management – Requirements, Scoping & Target Setting 这篇文章深入探讨了漏洞管理的各个方面，包括需求与范围、目标设定、指标与报告等。它强调了基于风险的漏洞管理（RBVM）方法的重要性，并详细讨论了如何通过风险评估和优先级划分来优化资源分配。文章还提到了服务级别协议（SLA）在设定修复时间中的作用，并指出攻击者通常会在漏洞披露后迅速行动，因此快速响应至关重要。最后，文章强调了持续改进和培训在提升整体安全水平中的作用。... 2025-10-9 07:0:0 | 阅读: 13 | 收藏 | NVISO Labs - blog.nviso.eu security ssvc pp exploited

Detection Engineering: Practicing Detection-as-Code – Monitoring – Part 7 文章讨论了检测工程中常被忽视的维护问题，并介绍了通过自动化监控和调整检测规则以确保其有效性和及时性的方法。... 2025-10-7 08:0:0 | 阅读: 18 | 收藏 | NVISO Labs - blog.nviso.eu threshold ruleid monthly detections

What Did the Attacker Read? MailItemAccessed Tells You read file error: read notes: is a directory... 2025-10-2 07:0:0 | 阅读: 15 | 收藏 | NVISO Labs - blog.nviso.eu attacker

Lunar Spider Expands their Web via FakeCaptcha Lunar Spider利用CORS漏洞入侵网站并注入FakeCaptcha框架，通过恶意JavaScript生成iframe覆盖原页面内容。该框架监控用户点击并发送数据到Telegram频道。攻击链涉及MSI下载器和恶意DLL Latrodectus V2，最终用于网络初始访问和后续勒索软件部署。该团伙主要活跃于欧洲金融部门。... 2025-10-1 07:0:0 | 阅读: 21 | 收藏 | NVISO Labs - blog.nviso.eu windows spider latrodectus powershell fakecaptcha

You name it, VMware elevates it (CVE-2025-41244) Broadcom披露VMware本地权限提升漏洞CVE-2025-41244，影响VMware Tools和Aria Operations。该漏洞允许无特权用户通过恶意二进制文件在特权上下文中执行代码。NVISO发现零日利用始于2024年10月，并怀疑中国背景的威胁组织UNC5174可能利用此漏洞进行初始访问。... 2025-9-29 17:9:42 | 阅读: 21 | 收藏 | NVISO Labs - blog.nviso.eu privileged sdmp aria nviso

Securing Microsoft Entra ID: Lessons from the Field – Part 1 文章探讨了微软Entra ID的安全性，重点在于混合身份配置、条件访问策略及特权访问的安全性。作者分析了常见的配置错误和安全威胁，如钓鱼攻击和令牌盗窃，并强调了遵循零信任原则的重要性。... 2025-9-25 08:0:0 | 阅读: 19 | 收藏 | NVISO Labs - blog.nviso.eu entra microsoft cloud security