Aggregator

作者因ChatGPT无法提供技术帮助而开发了自己的AI助手Syd，运行于本地硬件且无过滤器。Syd整合了PayloadsAllTheThings、HackTricks等资源及工具，支持生成C2分发器、Sliver payload等复杂任务。该助手主要用于教育和红队训练。

Intelbras路由器的网络管理界面存在多个安全漏洞，包括跨站脚本（XSS）攻击和未认证访问问题。这些漏洞可能使攻击者获取管理员权限、控制设备或窃取敏感配置信息。

一个开放的黑客社区，帮助新手成长为老手，鼓励提问、回答和学习，并通过Discord进行在线交流。

这是一个面向黑客的开放社区，旨在帮助新手成长为资深人士。用户可以在此提问、解答和学习地下技能，并通过 Discord 进行交流。

Two significant Grafana vulnerabilities that could allow attackers to redirect users to malicious websites and execute arbitrary JavaScript code.  The vulnerabilities, identified as CVE-2025-6023 and CVE-2025-6197, affect multiple versions of Grafana, including 12.0.x, 11.6.x, 11.5.x, 11.4.x, and 11.3.x branches.  Both security flaws were discovered through Grafana’s bug bounty program, with researchers Hoa X. Nguyen from […]

The post Grafana Vulnerabilities Allow User Redirection to Malicious Sites and Code Execution in Dashboards appeared first on Cyber Security News.

这篇文章介绍了多个技术主题，包括加密货币增长、云存储优化、AI网络抓取工具、数据库迁移、云备份简化以及机器经济对经济的影响等内容。

Поисковик добавил очень важный и полезный фильтр.

AI生成虚假漏洞报告泛滥，导致开源项目和安全研究陷入无意义信息的困境。

Daniel Stenberg警告称，AI生成的虚假漏洞报告正涌入开源项目，威胁网络安全研究。作为curl工具的维护者，他指出这些"幻觉漏洞"不仅无用，反而有害。HackerOne等平台依赖安全研究员发现真实漏洞以获得奖励，但AI生成的虚假报告正在扰乱这一过程。

文章介绍了域名解析系统（DNS）的作用及其潜在风险—— DNS中毒。 DNS将域名转换为IP地址以访问网站。然而，黑客可能通过篡改DNS记录将用户引导至恶意网站进行诈骗或其他攻击活动。

本文介绍了一个用于处理NTLMv2哈希的Python脚本，该脚本通过提示用户输入输出文件路径，读取并解析包含用户名、域和哈希值的文本文件，提取有效的32字符NTLM哈希并写入目标文件。该工具简化了渗透测试中的 credential dump 处理流程。

作者在公共教育网站上发现一个包含大量敏感内部数据的JavaScript文件，包括机密信息、CI/CD配置、员工邮箱等，并指出这些数据不应公开。这展示了常见但危险的安全漏洞及其潜在风险。

在一次网络 reconnaissance 中，作者发现了一个包含敏感内部数据的 JavaScript 文件。该文件暴露了硬编码密钥、CI/CD 信息、内部链接、员工邮箱等机密内容。这种情况比想象中更常见且危险，提醒人们注意识别和保护此类信息。

作者在浏览网站时意外发现其暴露在公共JavaScript文件中的AWS凭证和其他敏感信息,指出开发者常忽视此类配置错误带来的安全隐患。

作者发现某网站公开的JavaScript文件中包含API密钥、数据库凭证等敏感信息，并指出这是常见且危险的安全漏洞。

GitHub在用户名更改后会自动重定向链接，但一旦旧用户名被其他人注册，链接将失效或指向他人仓库。作者开发了一个扫描器检测此类漏洞，并利用其发现多个高危问题并获得赏金。此漏洞仍存在，需持续关注。

命令注入是一种安全漏洞，指程序意外允许攻击者执行系统命令。当用户输入未经检查直接传递给操作系统时可能发生此漏洞。例如，在线表单可能被注入危险指令，导致服务器执行恶意操作。OWASP指出攻击者可通过此漏洞在宿主操作系统上执行任意命令，从而控制服务器并造成严重后果。

这篇文章介绍了网络世界中网站和服务器的安全威胁——注入攻击。通过《Injection Chronicles》系列教程，读者将学习远程代码执行（RCE）、命令注入等常见攻击方式及其防范方法。内容以简单易懂的方式呈现，适合网络安全新手或道德黑客爱好者学习。

漏洞赏金计划承诺双赢，但部分企业利用“不会修复”标签、狭窄范围或静默补丁规避支付。研究人员投入大量时间却无回报，真实攻击链被归为“范围外”。

漏洞赏金平台承诺双赢，但部分企业利用“不会修复”标签、狭窄范围或悄悄打补丁规避支付。猎手们投入大量时间却无回报，真实攻击链被定义为“范围外”。