通过HOST碰撞发现更多资产和漏洞|挖洞技巧
通过HOST碰撞发现更多资产和漏洞|挖洞技巧 X1lyS/Yf3te 渗透安全HackTwo 2025-04-13 16:01 0x01 前言 HOST碰撞的概念已提出很久了,但是网上的部分文章感觉都解释得不太详细,可能是作者水平比较高的缘故哈哈,自行省略了很多细节没谈。于是想写一篇新手师傅也能看懂的HOST碰撞的文章,解释清楚HOST碰撞到底原理是啥,怎么利用?怎么修复? 参考文章:https
继续阅读标签: 广告
25,000美元漏洞背后的警醒:API端点如何成为数据泄露的“后门”?
25,000美元漏洞背后的警醒:API端点如何成为数据泄露的“后门”? 原创 道玄安全 道玄网安驿站 2025-04-12 02:05 “ 信息泄露。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入
继续阅读AkiraBot借OpenAI绕过验证,AI垃圾广告攻击狂轰40万网站
AkiraBot借OpenAI绕过验证,AI垃圾广告攻击狂轰40万网站 原创 HackerNews 安全威胁纵横 2025-04-11 07:53 AkiraBot 的人工智能(AI)驱动平台被用于向网站聊天框、评论区和联系表单发送垃圾信息,以推广可疑的搜索引擎优化(SEO)服务,如 Akira 和 ServicewrapGO。 网络安全研究人员披露了一个名为 AkiraBot 的人工智能(A
继续阅读Miaoo朋友圈程序存在前台SQL注入漏洞
Miaoo朋友圈程序存在前台SQL注入漏洞 C4安全团队 2025-04-05 20:14 0x00 前言 █ 该文章来自零日防线社区用户投稿 █ 前台一键发布图文,视频,音乐。发布内容支持定位或自定义位置信息。支持将发布内容设为广告模式消息站内通知或邮件通知。支持其他用户注册,支持其他用户发布文章,管理自己的文章。 Fofa语句:”./assets/img/thumbnail.s
继续阅读你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴
你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴 原创 庆尘qc Daylight庆尘 2025-04-03 18:19 (后文漏洞为 靶场环境,如有巧合,纯属雷同) 最近有一阵子没更新了,主要是也没研究什么新技术,所以就更新几篇最近打的 靶场案例,希望师傅们看了之后能有所收获。(师傅们可要好好看了,下次遇见类似的情况你就有思路啦) 一、挖掘历程 经典开局空白页(本人最喜欢的开
继续阅读紧急预警:谷歌Chrome高危零日漏洞CVE-2025-2783遭APT组织利用!速更新!
紧急预警:谷歌Chrome高危零日漏洞CVE-2025-2783遭APT组织利用!速更新! 原创 道玄安全 道玄网安驿站 2025-03-30 15:27 “ Google 0day。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及
继续阅读CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本
CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-03-29 13:32 前言 这个CVE-2025-30208资产真的巨多,而且出货量也高。 几天前的晚上,我就全部跑了一遍了,导出了12635条中国域名资产,总共大概跑了9000多条,出了大概快3000了,出货量很高,详情请看下文 往期推荐 oscp+:简
继续阅读暗网漏洞交易的财富密码:如何用1个0day实现被动收入?
暗网漏洞交易的财富密码:如何用1个0day实现被动收入? 原创 道玄安全 道玄网安驿站 2025-03-29 11:27 “ 0day真的很贵嘛?。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;
继续阅读【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)
【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 安全狐 2025-03-26 21:37 漏洞背景 Google Chrome 是全球使用最广泛的网页浏览器之一,以其快速、安全和稳定的特性著称。Chrome 采用了沙箱机制来隔离网页进程,以防止恶意代码对系统造成危害。2025年3月, 卡巴斯基安全研究人员发现了一个高危漏洞(CVE-2025-2783),该漏洞允
继续阅读HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒?
HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒? 原创 道玄安全 道玄网安驿站 2025-03-25 17:55 “ 和审核斗智斗勇。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以
继续阅读【安全圈】俄罗斯零日漏洞卖家开价 400 万美元出售全链 Telegram 漏洞经过 古鲁巴兰- 2025 年 3 月 21 日
【安全圈】俄罗斯零日漏洞卖家开价 400 万美元出售全链 Telegram 漏洞经过 古鲁巴兰- 2025 年 3 月 21 日 安全圈 2025-03-23 19:00 关键词 零日漏洞 俄罗斯漏洞经纪公司 Operation Zero 已公开宣布为 Telegram 零日漏洞提供高达 400 万美元的赏金,这表明俄罗斯政府对入侵这款流行消息应用程序的兴趣日益浓厚。 该公司专门为俄罗斯政府和当地
继续阅读百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览
百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览 安全牛 2025-03-20 16:59 新闻速览 •目录 百度对“开盒”事件发布声明,已报案 •通过电子商务骗局获利1400万美元,Click Profit 被封禁 •WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞 •Infosys因第三方数据泄露事件达成17
继续阅读美杜莎勒索软件攻击300个关键基础设施,漏洞修复刻不容缓!
美杜莎勒索软件攻击300个关键基础设施,漏洞修复刻不容缓! 数世咨询 2025-03-17 16:00 美国政府警告称,自 2021 年 6 月以来,美杜莎(Medusa) 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。 01 组织架构演变与勒索运营模式 CISA、联邦调查局(FBI)和多国信息共享与分析中心(MS-ISAC)在一份联合警报中指出,Medusa 最初
继续阅读Apache Tomcat partial PUT文件上传反序列化漏洞(CVE-2025-24813)
Apache Tomcat partial PUT文件上传反序列化漏洞(CVE-2025-24813) 道玄安全 道玄网安驿站 2025-03-11 22:52 “ CVE-2025-24813” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透
继续阅读多个政府机构和企事业单位门户网站遭攻击,工信部漏洞平台发布预警
多个政府机构和企事业单位门户网站遭攻击,工信部漏洞平台发布预警 安全内参 2025-03-10 17:38 关注我们 带你读懂网络安全 多个政府机构和企事业单位门户网站网页遭受攻击、篡改代码。 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,多个政府机构和企事业单位门户网站网页遭受攻击、篡改代码,导致违法违规信息传播、恶意链接推广、SEO(搜索引擎优化)劫持和钓鱼攻击等严
继续阅读网安笑传之《最新情报》TG 漏洞
网安笑传之《最新情报》TG 漏洞 原创 棉花糖糖糖 棉花糖fans 2025-03-08 20:05 我之前说国内情报大多数只是搬运老外,没想到现在搬老外也搬得这么懒…….人家独眼情报虽然是纯搬运工,但好歹搬的快,专业的网安技术牛子们反而慢了整整四天。。。。 独眼搬运工的发布时间 目前传的火热的TG漏洞与CVE-2024-7014类似,效果上都是伪装视频文件,诱导TG用户安
继续阅读公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览
公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览 安全牛 2025-03-07 15:48 点击蓝字·关注我们 / aqniu 新闻速览 •公安部网安局提醒:警惕5种个税汇算骗局 •工信部CSTIS提醒:防范针对DeepSeek本地化部署实施网络攻击的风险 •NIST发布《评估差分隐私保证指南》 •5欧元二手硬盘藏15GB敏感医疗记录,数据
继续阅读逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览
逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览 安全牛 2025-03-06 17:42 点击蓝字·关注我们 / aqniu 新闻速览 •合规压力过大,金融机构敦促CISA修订网络事件报告规则 •暗网Nemesis管理员遭美国财政部制裁 •逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪 •AI伪造
继续阅读CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览
CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览 安全牛 2025-03-04 18:07 点击蓝字·关注我们 / aqniu 新闻速览 •TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私 •CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用 •CISA警告:思科小型企业路由器漏洞遭在野利用
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读棉花糖居然被开盒了!
棉花糖居然被开盒了! 棉花糖糖糖 阿乐你好 2025-02-28 01:00 前情提要: 由于我被逆天哥开盒,所以本文将带领大家细说这位逆天开盒哥:红岸基地赵小龙的逆天事迹。 有些师傅不知道赵小龙是谁,给大家讲一下。 暗影网安实验室,红岸基地网络安全,这俩公众号都是他的 (有一说一,红岸、暗影,中不中二啊….自己起名字的时候笑没笑) ,我的好友列表甚至还有不少关注,看到这篇文章请你自行
继续阅读警惕!全景框架Krpano漏洞遭大规模利用,350+网站被植入垃圾广告
警惕!全景框架Krpano漏洞遭大规模利用,350+网站被植入垃圾广告 原创 Hankzheng 技术修道场 2025-02-28 00:18 近日,知名虚拟导览框架Krpano的一个跨站脚本(XSS)漏洞被黑客大规模利用,超过350个网站被注入恶意脚本,用于操纵搜索结果并推广垃圾广告。 安全研究员Oleg Zaytsev发现了一场名为“360XSS”的网络攻击活动,该活动利用了虚拟导览框架Krp
继续阅读紧跟网安前沿:获取最新资源与漏洞POC库助你快速成长!
紧跟网安前沿:获取最新资源与漏洞POC库助你快速成长! 原创 城北 渗透安全HackTwo 2025-02-27 16:00 前言 为了进一步让大家了解星球内部福利,决定写一篇文章让大家更加了解星球的资源及福利待遇,后续会迎来V1.5的更新资源更多内容更丰富,价格也不会在出现这个价格了– 末尾扫码加入星球 01 部分资源截图 其他 不一一截 图 …. 网盘资源 1day/0
继续阅读RuoYi若依 Vue综合漏洞检测工具支持二开或修改|漏洞探测
RuoYi若依 Vue综合漏洞检测工具支持二开或修改|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-27 16:00 0x01 工具介绍 ruuoyi_vulnscan 是一款基于 Python 和 Tkinter 开发的图形化界面工具,用于检测若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测
继续阅读暗网 0day 漏洞售卖预警
暗网 0day 漏洞售卖预警 独眼情报 2025-02-27 01:43 一名以“Vanger”为别名的网络犯罪分子出现在地下论坛上,提供针对 VMware ESXi 虚拟机管理程序的0day。 据称,该漏洞可实现虚拟机逃逸 (VME),其售价高达 15 万美元。如果属实,该漏洞可让攻击者从客户虚拟机 (VM) 侵入主机系统,对虚拟化环境构成严重威胁。 据报道,该漏洞影响 VMware ESXi
继续阅读安全服务集成化工具平台,希望能帮助你少开几个应用测试|漏洞探测
安全服务集成化工具平台,希望能帮助你少开几个应用测试|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-26 16:01 0x01 工具介绍 安全服务集成化工具平台,帮助用户通过自动化工具进行安全测试,减少开多个应用程序的需求。平台提供了网站扫描、目录扫描、公司信息查询、空间搜索、数据库自动取样、加解密模块、Fscan数据处理等功能。它支持多种常见安全检测需求,结合了强大的扫描引
继续阅读价值3.5W美元的账户接管漏洞
价值3.5W美元的账户接管漏洞 原创 道玄安全 道玄网安驿站 2025-02-26 14:14 “ 双写绕过出神力” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可
继续阅读Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测
Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-25 16:01 0x01 工具介绍 SQLMC(SQL注入大规模检查器)一款自动化扫描工具。📌 高效批量检测:面对甲方提供的数百个站点,SQLMC支持通过脚本集成批量扫描,告别手动逐个测试的低效模式,一键启动全自动漏洞排查,效率提升90%!注意:现在只对常读和星标的公众号才展示大
继续阅读特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览
特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览 安全牛 2025-02-25 10:02 点击蓝字·关注我们 / aqniu 新闻速览 •特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼 •澳大利亚政府出于安全顾虑,禁用卡巴斯基软件 •CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 •由1
继续阅读