月度归档： 2025 年 5 月

中国信通院【首批】软件供应链漏洞管理平台能力评估开始报名！ CAICT可信安全 2025-05-12 06:00 Background 背景 软件供应链漏洞管理平台用于识别、分析和缓解系统和软件安全漏洞，助力企业进行漏洞管理、评估现有的安全状况、潜在威胁的优先级和漏洞管理计划的有效性等，保障软件供应链安全。企业可通过漏洞和资产信息的关联和展现，快速定位可能存在漏洞的资产，提升安全事件响应速度。同时

绕过公共漏洞赏金计划中的双重身份验证：6000 美元的旅程 haidragon 安全狗的自我修养 2025-05-12 04:29 作为一名漏洞赏金猎人，发现公共程序中的漏洞既令人兴奋又充满成就感。在这篇文章中，我将带您了解我如何在一个公共漏洞赏金计划（为保密起见，我将其匿名化为 redacted.com）中发现并利用一个双因素身份验证 (2FA) 绕过漏洞，并最终获得 6000 美元的奖励。我将

多个未授权漏洞深度利用实战 原创 锐鉴安全 锐鉴安全 2025-05-11 23:21 声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。 关注公众号，设置为星标， 不定期有宠粉福利 Part-01 背景 日常开展Src测试，通过目录扫描发现swagger文档泄露，进一步利用，发现弱口令、数据

Edu双一流证书站 | github密码泄露导致的越权漏洞 原创 学员投稿 猎洞时刻 2025-05-11 13:48                               免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员，专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员，均需承诺遵守国家法律法规，严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为：本课程严禁任

某报表漏洞分析 原创 Mert 韭要学JAVA安全 2025-05-11 13:40 1.dataSphereServlet文件上传漏洞 server-name里面有对应的类 进入 com.raqsoft.guide.web.DataSphereServlet 进入该类 action=38时，代码仅获取文件名并保存，未验证文件类型 Upload upload = new Upload(this.g

【CTFer成长之路】零元购逻辑漏洞 原创 儒道易行 儒道易行 2025-05-11 12:00 逻辑漏洞CTF 访问url: http://1b43ac78-61f7-4b3c-9ab7-d7e131e7da80.node3.buuoj.cn/ 登录页面用随意用户名+密码登录 访问url文件路径： http://1b43ac78-61f7-4b3c-9ab7-d7e131e7da80.node3

挖洞日记 | 记一次不断FUZZ拿下高危越权漏洞 原创 zkaq-腾风起 掌控安全EDU 2025-05-11 04:02 扫码领资料 获网安教程 本文由掌控安全学院 –  腾风起 投稿 来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn） 前言 一个迎新系统，和师傅们一起提升一下权限 敏感信息泄露 1 进去系统，先挨个功能点瞅瞅，没发现上传

AI生成虚假漏洞报告污染漏洞赏金平台 黑白之道 2025-05-10 12:46 漏洞赏金计划遭遇AI伪造报告冲击 曾经因激励独立研究人员报告真实漏洞而备受赞誉的漏洞赏金计划，如今正面临AI生成虚假漏洞报告的重大挑战。这些伪造的漏洞报告在业内被称为”AI垃圾”，不仅浪费维护人员的时间，更令人担忧的是，有时甚至能获得实际的金钱奖励。 这种现象反映出一种日益增长的趋势：恶意行为