Aggregator

A color picker for Google's browser with more than 100,000 downloads hijacks sessions every time a user navigates to a new webpage and also redirects them to malicious sites.

安全研究员Rivek Raj Tamang分享了如何轻松发现暴露的密钥和令牌的方法，并指出这些敏感信息通常隐藏在源代码和JS文件中。

文章介绍了安全研究员Rivek Raj Tamang（RivuDon）通过分析源代码和JS文件发现暴露的API密钥、令牌等敏感信息的方法，并强调这些信息可能被攻击者滥用的风险。

在一个慵懒的下午，作者本想放松却强迫自己解决Portswigger Web Security Labs中的文件上传问题。尽管初衷并非如此，但多个实验室要求通过路径遍历读取`/etc/passwd`文件。

实验室要求获取 `/etc/passwd` 文件内容，但输入中的遍历序列（如 `../../../etc/passwd`）会被移除，并对多余的 URL 编码进行处理。

文章探讨了网络威胁情报（CTI）中数据收集的重要性，强调分析师需像侦探般从海量数据中提取关键信息。成功CTI策略依赖多样化的数据源和高效工具，帮助构建全面的威胁视图。

该报告记录了一次针对Windows 10设备的VAPT模拟攻击，利用Microsoft HTTPAPI漏洞CVE-2004–1561通过5357端口入侵医疗环境中的设备。攻击者通过Nmap扫描和Metasploit工具成功获取系统访问权限，并通过禁用服务和设置防火墙规则进行系统加固。报告强调了医疗环境中旧协议和服务配置错误带来的安全风险，并提出了防火墙配置、服务管理等防护建议。

作者在测试交易平台的KYC表单时发现地址字段存在XSS漏洞：输入HTML或脚本后被系统接受，并在用户资料中触发恶意代码。这凸显了输入验证的重要性——通过白名单过滤合法输入，防止恶意注入攻击。

在测试平台的KYC表单时发现地址字段存在XSS漏洞。通过输入HTML或脚本触发警报，强调输入验证的重要性，并建议采用白名单方法确保数据安全。

Darkmailr 是一款自托管的离线钓鱼模拟工具，利用开源大语言模型生成现实且有针对性的钓鱼邮件，适用于安全测试和培训。它支持本地网络访问、多种模型选择及自定义提示功能。

作者在进行子域名侦察时发现了一个API子域名api.secure-preview.target.com，并利用CORS配置错误和JavaScript脚本获取了生产环境数据。

作者通过子域名侦察发现api.secure-preview.target.com端点, 利用CORS配置错误和JavaScript代码获取了生产环境数据, 导致数据泄露。

文章描述了一次利用HTML和CSS进行的安全攻击。作者通过简单的代码注入，在AI聊天界面中实现了钓鱼链接、虚假警告和全屏接管等功能。尽管没有使用复杂脚本，但通过巧妙的样式设计，成功控制了聊天界面。文章强调了输入过滤、内容安全策略和限制输入长度等安全措施的重要性，并展示了即使没有脚本执行权限，HTML注入仍能造成严重后果。

文章介绍了API的基础知识及其在网络安全中的重要性，探讨了常见的API漏洞和攻击方法，并提供了学习资源和工具建议，强调了伦理安全和实践的重要性。

地铁闸门维护接口存在安全漏洞，可能导致未经授权的进入。攻击者可利用工具模拟NFC信号发送开门指令。此漏洞引发收入损失、无法追踪及内部滥用等问题。建议采用加密认证、动态UID及服务器同步等措施修复。作者已报告问题但未获回应。

六月底离职后，作者计划利用暑假调整身体作息、处理事务并准备面试。近期因久坐少锻炼感到不适，选择医院体检并开始跑步锻炼。回顾过去三次职业空档期的经历，包括在家锻炼、阅读和学习新技能等。同时尝试自己做饭节省开支，并重新使用旧Kindle阅读。