Aggregator
Sygnia Expands Cyber Insurance Expertise with Global Risk and Insurance Leader Elissa Doroff
8 months 2 weeks ago
Elissa to spearhead Sygnia’s strategic vision to bridge cybersecurity operations with legal and insurance sectors.
The post Sygnia Expands Cyber Insurance Expertise with Global Risk and Insurance Leader Elissa Doroff appeared first on Sygnia.
Sygnia
海水更咸海冰更少
8 months 2 weeks ago
南极洲的变暖速度是世界其他地区的两倍,但过去十年南极洲周围海冰面积缩小的程度超过了气候模型的估计。发表在 PNAS 期刊上的一项研究给出了一种解释,认为可能发生了危险的反馈循环。海水因密度不同而分成不同层的现象被称为分层,其中冷淡水层位于较深较温暖和较咸的水层之上,将热量困在海洋深处,使表层海水保持较凉的状态,有助于海冰的形成。海水密度越大重量也越大。当表层海水盐度升高时,它们更容易下沉,搅动了海洋的不同层,使深层的热量上升。这种热涌在冬季也会融化海冰,使得海冰更难形成,从而形成了一个反馈循环:高盐海水将更多热量带到海洋表面,融化了更多冰,吸收了更多热,循环加剧。
IBM security advisory (AV25-396)
8 months 2 weeks ago
Canadian Centre for Cyber Security
Chrome Store Features Extension Poisoned With Sophisticated Spyware
8 months 2 weeks ago
A color picker for Google's browser with more than 100,000 downloads hijacks sessions every time a user navigates to a new webpage and also redirects them to malicious sites.
Elizabeth Montalbano, Contributing Writer
Ubuntu security advisory (AV25-395)
8 months 2 weeks ago
Canadian Centre for Cyber Security
How to Easily Find exposed Secret keys and Tokens in Bug Hunting
8 months 2 weeks ago
安全研究员Rivek Raj Tamang分享了如何轻松发现暴露的密钥和令牌的方法,并指出这些敏感信息通常隐藏在源代码和JS文件中。
How to Easily Find exposed Secret keys and Tokens in Bug Hunting
8 months 2 weeks ago
文章介绍了安全研究员Rivek Raj Tamang(RivuDon)通过分析源代码和JS文件发现暴露的API密钥、令牌等敏感信息的方法,并强调这些信息可能被攻击者滥用的风险。
Here’s what I learned after solving 5 Path Traversal Labs.
8 months 2 weeks ago
在一个慵懒的下午,作者本想放松却强迫自己解决Portswigger Web Security Labs中的文件上传问题。尽管初衷并非如此,但多个实验室要求通过路径遍历读取`/etc/passwd`文件。
Write-up: File path traversal, traversal sequences stripped with superfluous URL-decode
8 months 2 weeks ago
实验室要求获取 `/etc/passwd` 文件内容,但输入中的遍历序列(如 `../../../etc/passwd`)会被移除,并对多余的 URL 编码进行处理。
Data Collection Methods for CTI: How to Collect Data
8 months 2 weeks ago
文章探讨了网络威胁情报(CTI)中数据收集的重要性,强调分析师需像侦探般从海量数据中提取关键信息。成功CTI策略依赖多样化的数据源和高效工具,帮助构建全面的威胁视图。
VAPT Report on HTTPAPI Services in Windows 10 Healthcare Endpoint
8 months 2 weeks ago
该报告记录了一次针对Windows 10设备的VAPT模拟攻击,利用Microsoft HTTPAPI漏洞CVE-2004–1561通过5357端口入侵医疗环境中的设备。攻击者通过Nmap扫描和Metasploit工具成功获取系统访问权限,并通过禁用服务和设置防火墙规则进行系统加固。报告强调了医疗环境中旧协议和服务配置错误带来的安全风险,并提出了防火墙配置、服务管理等防护建议。
I Found a Bug in Internal Testing: Stored XSS in KYC Form Address Field
8 months 2 weeks ago
作者在测试交易平台的KYC表单时发现地址字段存在XSS漏洞:输入HTML或脚本后被系统接受,并在用户资料中触发恶意代码。这凸显了输入验证的重要性——通过白名单过滤合法输入,防止恶意注入攻击。
I Found a Bug in Internal Testing: Stored XSS in KYC Form Address Field
8 months 2 weeks ago
在测试平台的KYC表单时发现地址字段存在XSS漏洞。通过输入HTML或脚本触发警报,强调输入验证的重要性,并建议采用白名单方法确保数据安全。
darkmailr
8 months 2 weeks ago
Darkmailr 是一款自托管的离线钓鱼模拟工具,利用开源大语言模型生成现实且有针对性的钓鱼邮件,适用于安全测试和培训。它支持本地网络访问、多种模型选择及自定义提示功能。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
8 months 2 weeks ago
作者在进行子域名侦察时发现了一个API子域名api.secure-preview.target.com,并利用CORS配置错误和JavaScript脚本获取了生产环境数据。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
8 months 2 weeks ago
作者通过子域名侦察发现api.secure-preview.target.com端点, 利用CORS配置错误和JavaScript代码获取了生产环境数据, 导致数据泄露。
“Click Once, Chat Never Again” — The Low Severity Bug That Hijacked the AI Chat Forever
8 months 2 weeks ago
文章描述了一次利用HTML和CSS进行的安全攻击。作者通过简单的代码注入,在AI聊天界面中实现了钓鱼链接、虚假警告和全屏接管等功能。尽管没有使用复杂脚本,但通过巧妙的样式设计,成功控制了聊天界面。文章强调了输入过滤、内容安全策略和限制输入长度等安全措施的重要性,并展示了即使没有脚本执行权限,HTML注入仍能造成严重后果。
API Hacking Fundamentals for Beginners: A Guide to Getting Started
8 months 2 weeks ago
文章介绍了API的基础知识及其在网络安全中的重要性,探讨了常见的API漏洞和攻击方法,并提供了学习资源和工具建议,强调了伦理安全和实践的重要性。
Inside the Gate: How I Witnessed a Tool Bypass a Metro Entry Without Ticket — And Why It’s a…
8 months 2 weeks ago
地铁闸门维护接口存在安全漏洞,可能导致未经授权的进入。攻击者可利用工具模拟NFC信号发送开门指令。此漏洞引发收入损失、无法追踪及内部滥用等问题。建议采用加密认证、动态UID及服务器同步等措施修复。作者已报告问题但未获回应。