I Found a Bug in Internal Testing: Stored XSS in KYC Form Address Field
在测试平台的KYC表单时发现地址字段存在XSS漏洞。通过输入HTML或脚本触发警报,强调输入验证的重要性,并建议采用白名单方法确保数据安全。
不安全
darkmailr
7 months ago
Darkmailr 是一款自托管的离线钓鱼模拟工具,利用开源大语言模型生成现实且有针对性的钓鱼邮件,适用于安全测试和培训。它支持本地网络访问、多种模型选择及自定义提示功能。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
7 months ago
作者在进行子域名侦察时发现了一个API子域名api.secure-preview.target.com,并利用CORS配置错误和JavaScript脚本获取了生产环境数据。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
7 months ago
作者通过子域名侦察发现api.secure-preview.target.com端点, 利用CORS配置错误和JavaScript代码获取了生产环境数据, 导致数据泄露。
“Click Once, Chat Never Again” — The Low Severity Bug That Hijacked the AI Chat Forever
7 months ago
文章描述了一次利用HTML和CSS进行的安全攻击。作者通过简单的代码注入,在AI聊天界面中实现了钓鱼链接、虚假警告和全屏接管等功能。尽管没有使用复杂脚本,但通过巧妙的样式设计,成功控制了聊天界面。文章强调了输入过滤、内容安全策略和限制输入长度等安全措施的重要性,并展示了即使没有脚本执行权限,HTML注入仍能造成严重后果。
API Hacking Fundamentals for Beginners: A Guide to Getting Started
7 months ago
文章介绍了API的基础知识及其在网络安全中的重要性,探讨了常见的API漏洞和攻击方法,并提供了学习资源和工具建议,强调了伦理安全和实践的重要性。
Inside the Gate: How I Witnessed a Tool Bypass a Metro Entry Without Ticket — And Why It’s a…
7 months ago
地铁闸门维护接口存在安全漏洞,可能导致未经授权的进入。攻击者可利用工具模拟NFC信号发送开门指令。此漏洞引发收入损失、无法追踪及内部滥用等问题。建议采用加密认证、动态UID及服务器同步等措施修复。作者已报告问题但未获回应。
Zine#38
7 months ago
六月底离职后,作者计划利用暑假调整身体作息、处理事务并准备面试。近期因久坐少锻炼感到不适,选择医院体检并开始跑步锻炼。回顾过去三次职业空档期的经历,包括在家锻炼、阅读和学习新技能等。同时尝试自己做饭节省开支,并重新使用旧Kindle阅读。
CVE-2025-5777: CitrixBleed 2 Write-Up… Maybe?
7 months ago
Citrix于6月发布三个安全漏洞(CVE编号: CVE-2025–6888, CVE–...),影响NetScaler ADC和Gateway多个版本。其中两个漏洞引发关注: CVE–... 被认为是内存泄露问题(类似CitrixBleed),而另一个可能导致控制流问题或拒绝服务。研究人员开发了针对前者exploit,并发现可泄露会话令牌和凭据。建议检查日志和审计会话以应对潜在威胁。
Vulnerabilità critica in Citrix riscontrata su host italiani
7 months ago
CitrixBleed 2(CVE-2025-5777)是Citrix NetScaler ADC和Gateway中的严重漏洞,允许未认证攻击者通过构造特定HTTP请求窃取内存数据,包括认证令牌和敏感信息。该漏洞可能导致MFA绕过、会话劫持及系统入侵。尽管Citrix已于6月初发布补丁,但因部分组织延迟修复且PoC公开传播,风险显著增加。CERT-AGID监测到针对意大利主机的扫描活动,并发现多个公共部门及金融机构可能受影响。建议立即安装补丁并终止所有会话以缓解风险。
NordDragonScan: Quiet Data-Harvester on Windows
7 months ago
文章描述了NordDragonScan恶意软件通过伪装文件传播,窃取文档、浏览器数据和截图,并将其发送至C2服务器。该软件利用LNK快捷方式和HTA脚本进行攻击,并创建持久化机制以维持长期存在。
Understanding Your Attack Surface: The Key to Effective Exposure Management
7 months ago
文章探讨了攻击面管理在网络安全中的重要性,并介绍了如何通过整合Tenable的攻击面管理和漏洞扫描工具来提升暴露管理能力。作者分享了实践经验,强调了全面了解攻击面和自动化风险识别的重要性,并展望了未来通过自动化和整合工具进一步优化流程的方向。
Introducing simple and secure egress policies by hostname in Cloudflare’s SASE platform
7 months ago
Cloudflare推出新功能支持基于主机名、域名、内容类别和应用程序设置出站策略。该功能通过DNS解析与网络流量关联实现,并解决IP地址动态变化问题。未来计划扩展更多应用场景。
7 Reasons Why Trustwave's FedRAMP Status is Key for US Vendors
7 months ago
Trustwave获得FedRAMP授权,成为首个纯MDR提供商。其Government Fusion平台提供安全服务,助力政府供应商提升可信度、合规性及市场准入。
Playing the Cybersecurity Odds: How to Bet Smart in an Uncertain Economy
7 months ago
文章探讨了在不确定经济环境下如何通过风险管理提升网络安全策略的有效性。强调将技术威胁转化为业务风险语言的重要性,并介绍了FAIR等框架帮助量化风险、优化投资决策。
Windows 重装大师:装完系统要付费怎么办?
7 months ago
梨子分享离谱图片:Windows重装大师收费98元合法?对比经典诈骗图;宝上类似服务合法但商业模式引人不适;联想远程重装涨价;推荐正版Windows购买渠道。
Free certificates for IP addresses: security problem or solution?
7 months ago
Let's Encrypt首次为IP地址颁发证书,既方便了无域名网站的安全访问,也带来了潜在风险。虽然该功能支持远程设备管理等合法需求,但也可能被网络犯罪分子滥用进行钓鱼攻击。用户需警惕包含IP地址的链接,并采取多因素认证等安全措施保护账户安全。
Taiwan flags security risks in popular Chinese apps after official probe
7 months ago
台湾国安局警告称,TikTok、微信等中国开发的应用程序存在过度收集用户数据并传输至中国的安全风险。这些应用涉嫌滥用权限、侵犯隐私,并可能因中国法律要求企业向政府提供数据而威胁用户隐私和企业机密。
TikTok recruits senior UK privacy regulator as it battles fine and investigation
7 months ago
TikTok聘请了英国数据保护机构ICO的高级官员Stephen Bonner担任欧洲数据保护部门负责人。Bonner曾参与对TikTok滥用儿童数据的调查并开出1270万英镑的罚单。此举引发利益冲突和监管捕获的担忧。
16 Billion Exposed Records Offer Blueprint for Mass Exploitation
7 months ago
研究人员发现160亿条登录记录暴露,涉及GitHub、Telegram等平台账户。尽管部分数据为新鲜泄露,但大量为旧数据被重复利用。专家警告称,这些凭证可被用于账户接管和网络钓鱼等攻击。尽管数据年龄存疑,但其规模和结构仍构成严重威胁。建议用户加强密码管理并采用多因素认证等安全措施以应对风险。
Checked
6 hours 29 minutes ago
unSafe.sh - 不安全
不安全 feed