不安全

MeetC2 是一个基于 Google Calendar API 的 C2 框架 PoC，用于模拟云滥用攻击，帮助团队测试检测、日志记录和响应能力。通过创建隐藏的通信通道，将命令嵌入日历事件中执行，并更新事件以返回输出。框架支持跨平台运行，并提供详细的设置和使用指南。

The Markup是一家专注于通过数据驱动的新闻报道推动技术问责和隐私保护的非营利组织。

人工智能在各行业的广泛应用带来了显著效益，但也增加了网络威胁风险，尤其是对抗性攻击如数据中毒和样本操作导致错误结果。金融等领域受影响严重。防御措施包括加强训练和输入验证。忽视风险可能导致数据泄露和信任损失。

OpenxAI在Base平台上线,允许任何人快速启动AI业务,无需中间商。

Spotify用户因账户被黑后找回而愤怒，提供黑客邮箱请求 Reddit 用户帮助追踪或公开信息，并希望至少让对方受到惊吓。

/r/netsec 是一个由社区管理的信息安全内容聚合平台，旨在为安全从业者、学生、研究人员和黑客提供高质量的技术信息，并从信息噪音中提取信号。

文章描述了作者在日本东北地区的旅行经历，从青森睡魔祭的热闹到种差海岸的静谧自然，再到男鹿半岛的文化体验与自然奇观。通过丰富的视觉与情感描写，展现了当地独特的文化魅力与自然风光。

四个恶意软件包伪装成合法工具和Flashbots MEV基础设施上传至npm registry，窃取Ethereum开发者的钱包私钥和助记词，并将其发送至Telegram机器人。这些包最早于2023年9月上传，其中最危险的包通过SMTP隐蔽传输环境变量，并重定向未签名交易至攻击者钱包。代码中含越南语注释，暗示攻击者可能来自越南。

HackerNoon平台上的科技新闻排名,基于页面浏览量、互动量和评论数,于2025年9月6日发布,作者为TechBeat.

文章描述了一个团队协作平台的漏洞：在测试过程中发现文件上传功能中的file_url参数可被篡改指向外部服务器，导致攻击者能够获取目标用户的关键信息（如IP地址、操作系统版本、城市等），对用户隐私构成严重威胁。

文章描述了一个团队协作平台的漏洞测试过程。作者在测试聊天功能中的文件上传时发现，通过篡改上传请求中的file_url参数，可以捕获用户敏感信息如IP地址、操作系统版本和所在城市等。该漏洞可能导致用户隐私泄露，对团队安全构成威胁。

2017年5月的WannaCry勒索软件攻击揭示了Windows系统的漏洞，并展示了其快速传播和加密文件的能力。通过逆向工程分析，揭示了其利用EternalBlue漏洞、网络传播机制、持久化技术和内置 kill switch 的工作原理。

文章介绍了一种通过C++编写自定义Shellcode的方法，用于绕过高-tech安全系统检测。该方法利用Windows内存结构（如PEB和TEB）定位Kernel32.dll，并手动解析其导出表以获取GetProcAddress函数地址。通过将字符串编码为Hex格式存储在Shellcode中，并利用GetProcAddress动态调用其他API函数（如LoadLibraryA），可以实现更隐蔽的恶意功能。文章还提供了一个反向shell的完整示例代码，并强调了自定义Shellcode在灵活性和隐蔽性方面的优势。

文章介绍了如何通过多种技术手段（如DNS侦察、子域名枚举、网络爬虫和WHOIS查询）发现隐藏的真实服务器IP地址，绕过云WAF保护以进行安全测试或漏洞挖掘。

文章介绍如何发现隐藏的服务器来源，通过结合多种网络安全工具和技术（如DNS侦察、网络扫描等），绕过云WAF保护，掌握关键的第一步——原服务器发现。

作者测试了一个加密货币平台的安全性，发现了缓存欺骗和访问控制漏洞，并成功复现了问题。尽管报告了漏洞但因重复未获奖励，对平台感到失望但仍坚持寻找漏洞。

一位安全研究人员测试加密货币平台时发现缓存欺骗和访问控制漏洞，并成功利用接触ID绕过限制。尽管报告被标记为重复且修复延迟，他仍坚持漏洞挖掘。

作者通过目录暴力破解发现HP打印机未受保护的管理页面，可直接访问并修改网络设置、添加联系人或切断网络连接，最终报告漏洞获700美元奖励。

作者通过目录暴力破解发现HP打印机未受保护的管理页面,可直接访问并控制打印机设置,最终获得$875奖励。

通过在URL末尾添加.css等扩展名，利用服务器与缓存层之间的通信漏洞，将用户的敏感金融数据缓存到公共缓存中，从而实现未授权访问。