Crusader Research
Crusader Research
来自 Crusader 团队的安全研究、工具与实战笔记。
最新研究
-
Agentic Security
line jumping:一个被投毒的 MCP tool 如何劫持一个从未被调用的模型
一个 MCP tool 的 description 会在 tools/list 阶段——早在该 tool 被调用之前——就被加载进模型的 context。这个协议细节把一个 description 字段变成了 prompt injection 载荷,哪怕用户从未碰过这个 tool,它也会触发。本文讲清其机制、攻击类别,以及能抓住它们的审计方法。
-
Bug Class Deep Dives
用单包攻击拿下 Web 竞态条件漏洞
竞态条件的可利用窗口往往在亚毫秒级,而你的多个 request 之间的网络抖动却有 1-10ms —— 于是它们被串行化,漏洞看起来像是不存在。single-packet attack 把这段抖动压缩到零。下面讲清楚它的机制、背后的数学,以及它能带来什么回报。
-
Bug Class Deep Dives
绕过简单过滤器的 SSRF:URL 解析器混淆与元数据端点
允许列表和 HTTP 客户端对你的 URL 有着不同的解析方式——这道缝隙正是现代 SSRF 的栖身之所。本文给出确切的解析器混淆载荷、从容器内部完成的 IMDSv2 令牌操作、gopher-to-Redis 的 RCE 链条,以及为什么要用带外方式而非响应体来确认漏洞。
-
Bug Class Deep Dives
IDOR 藏在第二个标识符里:用双账号 Shadow Replay 发现 BOLA
人人都在 fuzz URL 路径里的 ID;但路径里的 ID 通常正是应用真正会检查的那个。真正的 access-control 漏洞藏在 body 里的 account_id、node(id:) resolver、异步的 PDF 任务,以及那个你从未发送过的 PUT 里。这里讲清楚 BOLA 究竟藏在哪,以及如何用两个账号把它 diff 出来。
-
Agentic Security
间接 prompt injection 是 agent 时代的 SSRF
SSRF 是服务器去抓取攻击者的 URL 并信任其响应。间接 prompt injection 是 agent 读取攻击者的内容并把它当作指令来信任。同样是数据与控制之间那道缺失的边界——本文给出确切的 gadget、能绕过过滤器的编码方式,以及为什么“忽略前面的指令”这一招在几年前就失效了。