How Low Severity Bugs Lead to Critical Rewards
文章探讨了低严重性漏洞(如开放重定向、动词篡改)如何通过串联形成高危攻击链,甚至导致账户接管和远程代码执行。这些常被忽视的小问题可能看似无害,但当被巧妙利用时可演变为严重威胁。
不安全
How Low Severity Bugs Lead to Critical Rewards
7 months ago
文章探讨了低严重性漏洞(如开放重定向、动词篡改、信息泄露等)如何通过连锁反应形成高危攻击链,最终导致账户接管或远程代码执行(RCE)。这些看似无害的漏洞常被忽视或标记为“低”或“信息级”,但通过巧妙组合可绕过自动化扫描并实现高价值 exploitation。
How I made Vertical Privilege Escalation through Request Manipulation
7 months ago
文章描述了通过垂直权限提升漏洞利用Burp Suite工具绕过后台验证,在人力资源管理系统中使低权限用户直接批准请假请求的过程,并指出问题在于缺乏输入验证和授权检查。
I Unlocked Gemini Advanced Till 2025 Using a Temporary .EDU
7 months ago
Aditya Sunny发现Google Gemini Advanced可通过临时.edu邮箱和VPN获取长期访问权限。漏洞源于Google仅验证邮箱后缀而无额外身份或位置检查,导致非学生也能滥用教育资源。此漏洞影响Google收入、学生公平及系统安全。已向Google报告等待处理。
The HackerOne-Wayback Machine Saga: An Unofficial Vulnerability or Just Public Oversight?
7 months ago
作者发现通过Wayback Machine可以访问HackerOne上隐藏的漏洞赏金信息,并认为这可能是一个严重漏洞。然而,HackerOne团队指出这并非安全漏洞,而是公共数据管理问题。事件揭示了数据永久性和隐私保护的挑战,并强调透明度和负责任报告的重要性。
The HackerOne-Wayback Machine Saga: An Unofficial Vulnerability or Just Public Oversight?
7 months ago
作者通过Wayback Machine发现可访问HackerOne上隐藏的漏洞赏金信息,认为是重大漏洞。但HackerOne团队指出这是公开数据问题而非安全漏洞,并强调了数据永久性和透明度管理的重要性。
Printed QR Code Hacking in 2025: The Invisible Threat You Must Know!
7 months ago
文章介绍了Printed QR Hacking的风险及其隐蔽性。通过替换链接或钓鱼网站等手段,攻击者可窃取个人信息或资金。防范措施包括使用静态二维码、避免短链接及安装安全扫描应用。提高公众意识是关键。
Tuesday Morning Threat Report: July 8, 2025
7 months ago
Google因非法收集安卓用户数据被罚款3.14亿美元;加拿大命令中国 surveillance公司Hikvision停止运营;Verizon和T-Mobile用户数据被暗网出售;Ahold Delhaize数据泄露影响220万人;Cloudflare阻止AI爬虫访问网站;美国逮捕帮助朝鲜IT工人获取远程职位的人员;国际刑事法院遭网络攻击;德国要求移除DeepSeek应用;挪威大坝遭黑客攻击;瑞士政府数据因勒索软件泄露;60万WordPress网站因插件漏洞受威胁。
Inside the Breach: How an Entire Bank's Computer Systems Were Hacked
7 months ago
这篇文章探讨了2024年某大型银行遭受网络攻击导致IT系统瘫痪的事件。分析显示攻击者通过钓鱼邮件等手段进入系统,并利用工具如Mimikatz和Cobalt Strike进行权限提升和横向移动。最终部署勒索软件加密数据并进行双重勒索。真实案例如孟加拉国央行和Colonial Pipeline事件展示了类似手法的成功。文章指出银行成为目标的原因包括资金流动直接性、遗留系统脆弱性及内部管理不善,并建议采取零信任架构、员工培训及多因素认证等措施加强防御。结论强调全面系统沦陷不仅是技术问题,更是架构与管理失败的结果,并呼吁投资于网络安全以防止未来损失。
江西某新型材料公司视频监控数据遭境外窃取被罚
7 months ago
提示当前环境异常,需完成验证后才能继续访问。
遭受惨烈事故后,这家公司将投入超36亿元加强数据安全建设
7 months ago
当前环境异常,需完成验证后方可继续访问。
Open Source Tool for AI-Specific Threat Modeling — Fast, Context-Aware, and Developer-Friendly
7 months ago
这篇文章介绍了人工智能在各领域的广泛应用及其带来的安全风险,并提出了一种名为AI Threat Modeling Assistant的开源工具。该工具通过结构化问题帮助识别和缓解AI系统的特定威胁,并提供合规性检查和修复建议。
The $100,000 Click: My First Year in Bug Bounties
7 months ago
文章讲述了一个从困境中通过发现安全漏洞获得重大回报的故事。主人公在负债累累、工作不顺的情况下,通过参与漏洞赏金平台找到关键安全漏洞,并获得丰厚回报。
The $100,000 Click: My First Year in Bug Bounties
7 months ago
文章讲述了一位IT工作者从负债累累、生活艰难到通过参与漏洞赏金计划成功发现重大安全漏洞并获得丰厚回报的故事。
The Ultimate API Penetration Testing Checklist (2025 Edition)
7 months ago
文章探讨了API安全测试的重要性及常见漏洞类型,包括身份验证配置错误、绕过速率限制、价格操控和库存伪造等高风险问题,并通过实际案例说明了这些漏洞的潜在影响及检测方法。
The Ultimate API Penetration Testing Checklist (2025 Edition)
7 months ago
文章探讨了API安全测试的重要性,并提供了实用步骤和真实案例来识别关键漏洞。重点包括身份验证配置错误、速率限制绕过、价格操控和库存 spoofing 等常见问题,并强调了复杂逻辑错误的高回报风险。
Exploiting API Version Mismatches for Hidden Vulnerabilities
7 months ago
文章探讨了版本化API(如/v1/, /v2/)在现代应用中的安全风险。旧版本常被忽视,导致授权绕过和逻辑漏洞。攻击者可利用这些旧API绕过认证、触发反序列化漏洞或利用未修复的逻辑问题。
How to Approach Finding Bugs Easily: My Bug Hunting Methodology
7 months ago
作者分享了一套系统化的漏洞挖掘方法论,强调理解目标应用的业务逻辑和数据流的重要性,并通过创建思维导图来辅助识别潜在的安全漏洞。
Business continuity e disaster recovery: differenze, sinergie e valore per la resilienza aziendale
7 months ago
文章探讨了信息安全中的业务连续性(BC)与灾难恢复(DR)概念及其区别。业务连续性侧重于确保企业在面对危机时维持运营,采用主动策略并涉及多个部门;而灾难恢复则专注于IT系统的快速恢复,在技术层面采取被动响应措施。两者通过不同方法共同提升组织韧性。
SQL injection attack, listing the database contents on Oracle — Portswigger
7 months ago
Rayofhope分享了如何利用SQL注入攻击从Oracle数据库中提取数据。通过分析参数输入、测试单引号引发错误、确定列数及数据类型,并使用`UNION SELECT`语句结合`DUAL`表和`ALL_TABLES`视图成功提取了用户表及敏感信息如用户名和密码。最终从`USERS_VHVEBS`表中获取了管理员账户及其密码。
Checked
4 hours 33 minutes ago
unSafe.sh - 不安全
不安全 feed