哔哩哔哩网页端疑似曝出存储型XSS漏洞
哔哩哔哩网页端疑似曝出存储型XSS漏洞 夜组科技圈 2025-01-16 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 哔哩哔哩网页端疑似曝出存储型XSS漏洞。 目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也
继续阅读标签: XSS
网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的
网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的 原创 VlangCN HW安全之路 2025-01-14 12:54 篡改网站(Deface Website)是渗透测试中常见的攻击手段之一,通过篡改目标网站的首页内容,可以起到警示、测试甚至恶意宣传的作用。本期文章,我将带大家从基础知识入手,深入解析如何实现网站篡改和利用X
继续阅读信息安全漏洞周报(2025年第2期)
信息安全漏洞周报(2025年第2期) 原创 CNNVD CNNVD安全动态 2025-01-14 11:28 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月6日至2025年1月12日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1045个。 接报漏洞情况 本周CNNVD接报漏洞10936个,其中信息技术产品漏洞(通用型漏洞)28
继续阅读Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍
Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍 原创 VlangCN HW安全之路 2025-01-13 13:50 Nuclei 是一款高效的漏洞扫描工具,用于检查现代应用程序、基础设施、云平台和网络,以帮助识别和修复可被利用的漏洞。 Nuclei 的核心是基于 YAML 模板 的设计。这些模板以简单明了的 YA
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞
GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! admin 白帽子飙车路 2025-01-13 05:35 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,H
继续阅读【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞
【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞 原创 奥村燐 弥天安全实验室 2025-01-13 04:25 网安引领时代,弥天点亮未来 **** 0x00前言描述 我过去经常挖掘Dom Xss漏洞,因此写下了以下文章记录了整个过程。接下来,我计划将其改进为自动化挖掘。 0x01整体过程 假如我发现了一个网站,并想要挖掘其中的 Dom Xss 漏洞。 网站加载了一段 JavaScript
继续阅读一次敏感信息泄露引发的逻辑漏洞挖掘
一次敏感信息泄露引发的逻辑漏洞挖掘 菜狗 富贵安全 2025-01-13 01:18 根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。
继续阅读什么是重保?期间都做些什么?有哪些重要影响?
什么是重保?期间都做些什么?有哪些重要影响? 原创 洁说安全 网络安全和等保测评 2025-01-12 23:00 重保即重点保障时期,通常是指在一些重大活动、关键敏感时期,为了确保特定范围内的网络安全、信息系统稳定运行、关键基础设施安全等所采取的一系列强化保障措施的阶段。 重保期间所做的主要工作如下: 安全监测方面 1.网络流量监测 利用专业的网络流量分析工具,7×24 小时不间断地对进出网络的
继续阅读SSRF 漏洞自动化 寻找
SSRF 漏洞自动化 寻找 真爱和自由 迪哥讲事 2025-01-12 13:40 环境搭建 下载项目https://github.com/l4yn3/micro_service_seclab 然后放入 IDEA 即可,之后运行 这里主要研究 SSRFSSRF 的漏洞代码 但是这个不太明显我修改了一下这样更好观察 成功 漏洞分析 我们首先需要看明白造成 SSRF 漏洞的类型 HttpURLConn
继续阅读基于大模型(LLM)的黑盒RCE漏洞挖掘
基于大模型(LLM)的黑盒RCE漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2025-01-11 09:00 简介 远程代码执行(Remote Code Execution,RCE)漏洞是最危险的网络安全漏洞之一,攻击者可以通过此类漏洞远程执行任意代码,进而控制目标系统。由于RCE漏洞的危害性极大,因此发现和修复这些漏洞是网络安全领域的重要任务。传统的漏洞挖掘方法依赖于手动渗透测试和静态分析,效率较
继续阅读2024年网络空间安全漏洞态势分析研究报告
2024年网络空间安全漏洞态势分析研究报告 计算机与网络安全 2025-01-11 01:57 微信公众号计算机与网络安全 加入知识星球: 网络安全攻防(HVV) 下载文件**** | 来源: 天融信
继续阅读发现Web API漏洞居然能赚到400w刀
发现Web API漏洞居然能赚到400w刀 Z2O安全攻防 2025-01-10 04:09 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励
继续阅读信息安全漏洞周报(2025年第1期 )
信息安全漏洞周报(2025年第1期 ) 原创 CNNVD CNNVD安全动态 2025-01-10 02:08 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年12月30日至2025年1月5日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞519个。 接报漏洞情况 本周CNNVD接报漏洞40389个,其中信息技术产品漏洞(通用型漏洞)239个,
继续阅读GFI KerioControl 中的严重 RCE 缺陷允许通过 CRLF 注入远程执行代码
GFI KerioControl 中的严重 RCE 缺陷允许通过 CRLF 注入远程执行代码 信息安全大事件 2025-01-09 20:20 威胁行为者正试图利用最近披露的威胁 GFI KerioControl 防火墙的安全漏洞,如果成功利用该漏洞,可能会允许恶意行为者实现远程代码执行 (RCE)。 有问题的漏洞 CVE-2024-52875 是指回车换行 (CRLF) 注入攻击,为 HTTP
继续阅读从低危Blind SSRF到严重漏洞
从低危Blind SSRF到严重漏洞 白帽子左一 白帽子左一 2025-01-09 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) SSRF简介 服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的
继续阅读干货!从零到一: 构建一个可靠的SCA漏洞库
干货!从零到一: 构建一个可靠的SCA漏洞库 原创 todobest SDL安全 2025-01-09 00:42 一、背景 “ 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT
继续阅读带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码
带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码 原创 长弓三皮 长弓三皮 2025-01-09 00:08 随波逐流工作室—-探索前沿科技,分享最新软件。点击标题下蓝字“长弓三皮 ”关注,我们将为您提供有深度、有价值、有意思的阅读。 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把长弓三皮“设为星标”,否则可能就看不到了啦!****
继续阅读Web安全进阶|Web漏洞分析与防范实战
Web安全进阶|Web漏洞分析与防范实战 IT阅读排行榜 Z2O安全攻防 2025-01-07 12:01 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这
继续阅读每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞
每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞 交大捷普 2025-01-06 10:14 2024[ 每周网安资讯 ]12.31-1.6 网安资讯 1、国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会印发《关于促进数据产业高质量发展的指导意见》 《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发
继续阅读从js到高危垂直越权漏洞挖掘
从js到高危垂直越权漏洞挖掘 白帽子左一 白帽子左一 2025-01-06 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1. 访问目标 在漏洞挖掘时,我们再次遇到一个仅提供登录表单的目标系统,我们尝试通过 数据泄露监控平台 寻找可能存在的凭据信息,以便用于登录目标系统。长话短说,我们找到了一组有效的账户信息,
继续阅读edu挖掘从弱口令到RCE
edu挖掘从弱口令到RCE 扫地僧的茶饭日常 2025-01-04 08:02 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 访问某学校官网点击教务在线 找到实践教学管理平台 来到学校的毕业设计系统登录界面 通过弱口令学号学号登录进去,学号直接搜索引擎搜索得到即可 发现coo
继续阅读【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了
【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了 原创 仙草里没有草噜丶 泷羽Sec 2025-01-03 23:44 ~ 历遍山河,仍觉人间值得 ~ Tr0ll level 1 这里是综合的,前两篇已经发过了1和2,可以直接跳过这里,看level 3,,当然也可以回顾回顾思路,考试的时候指不定就忘了 靶机1,主要是利用了ftp匿名登录 image-20241224010611985
继续阅读当黑客那些年之帐户接管系列漏洞-案例一斩获1000$
当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 迪哥讲事 2025-01-03 15:27 当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞,该漏洞允许我接管任何用户的账户。 在开始之前,我想先提供一些关于 Host 头的小基础知识。 什么是 HTTP Host 头? HTTP Host 头是 HTTP/1.1 中的必
继续阅读Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步
Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等
继续阅读Web安全进阶:漏洞分析与防范实战技巧
Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景
继续阅读【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大
继续阅读