https://web.shanbay.com/wordsweb/#/collection单词数据加密使用json hookvar my_parse = JSON.parse;JSON.parse =...
如何在密码重置链接中使用主机头注入来入侵账户 — $$$$
在今天的博客中,我将分享一个我去年发现的有趣漏洞,该漏洞允许我通过操纵密码重置链接来接管用户帐户。此漏洞称为通过主机头注入进行密码重置中毒。 🌟 什么是密码重置中毒? 当您忘记密码时,网站通常会提供“...
Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限
美国网络安全和基础设施安全局 (CISA) 已正式将 Linux 内核中的一个严重漏洞CVE-2023-0386添加到其已知可利用漏洞 (KEV) 目录中。尽管该漏洞已于 2023 年初得到修补,但近...
忧郁(Noroff):朝鲜复杂的 Web3 入侵
2025年6月11日,Huntress收到合作伙伴的联系,称最终用户下载了疑似恶意的Zoom扩展程序。安装Huntress EDR代理后,入侵的深度立即显现出来。经过一番分析,发现受害者在几周前就收到...
浅谈常见EDU漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞
文章作者:薛定谔不喜欢猫 文章来源:https://forum.butian.net/share/4291 浅谈常见EDU漏洞,逻辑漏洞➡越权➡接管➡getshell今年对某高校进行了渗...
使用 NTLM 反射进行 Pwning 反射
这篇文章仅演示了该攻击过程。关于“反射”攻击链的详细说明,我已经创建了一个,您可以在这里找到:https://seriotonctf.github.io/Reflection-Vulnlab/Syna...
100 个 Web 应用漏洞类型挖掘
SQL 注入 (SQLi)跨站脚本攻击 (XSS)跨站请求伪造 (CSRF)服务器端请求伪造 (SSRF)XML 外部实体 (XXE)不安全的直接对象引用 (IDOR)远程代码执行 (RCE)命令注入...
什么?一次红队行动差点让我财富自由了
免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并...
如何快速提升红蓝对抗技术
这段时间护网招人的消息接近尾声,从社区的搜索情况中也能看到越来越多关于护网的关键词。网安作为一个知识涉猎广泛,且技术、思路更新迭代较快的一个专业,很多人会感觉后劲不足,难以跟上进度,一个技术的复现通常...
SQL注入:所有概念、所有有效载荷,尽在一处
掌握 SQL 注入:面向初学者和专业人士的深度指南注意:本指南假设您拥有安全、合法的测试环境(例如,DVWA、OWASP Juice Shop、本地虚拟机)。切勿针对未经授权的目标进行测试。1.什么是...
AI编程助手安全风险与控制指南(下)
本文旨在为企业提供一份关于在组织内部采纳人工智能(AI)编程助手(特别是Cursor和GitHub Copilot等流行工具)的安全风险分析与技术强化指南。报告的目标是建立对AI辅助编码工具风险的普遍...
AI编程助手安全风险与控制指南(中)
Vibe Coding已经成了当今大模型时代最具活力的生产力领域,但是面对各类AI辅助智能编程工具,在企业中如何平衡生产力、安全性以及总体拥有成本,Vibe Coding又会带来哪些新的问题,是一个迫...