您是否接触过RepoJacking ? 可以问自己;我拥有的存储库是否直接或间接容易受到 RepoJacking 的攻击? 简单的回答是,暴露的可能性是无限的。如果认为自己可能会暴露,应该问一些基本问...
本田电子商务平台中的漏洞暴露了客户、经销商数据
一名研究人员披露了在用于设备销售的本田电子商务平台中发现的严重漏洞的详细信息。利用这些漏洞可能会让攻击者获得对客户和经销商信息的访问权限。 安全漏洞和数据泄露是今年早些时候由美国研究员 Eaton Z...
Windows | 事件日志类型总结
Windows事件日志记录主要分为安全、系统和应用程序等类型,在Vista、Win7、Server 2008,以及 Win10 和 Server 2019 扩展了自定义日志的数量,比如, PowerS...
存储img标签+csrf 组合拳--骚炒作
我们测试的时候经常遇到img标签可以识别、但是但是弹窗属性被拦截的死死的、就是只能做到<img src="1">、这时候就可以img标签+csrf 组合拳攻击关于目标此应用程序是为人力资源...
Bitmoji Tips 是否注册查询接口
可以测试是否注册Snapchat 帐户,@JakeCreps分享了一个关于 Bitmoji API 的小技巧,可以查看某个电子邮件地址是否三方连接登录到 Snapchat 帐户等。这是 Bitmoji...
【资料】社会工程系列
昨天给大家推荐了《社会工程:安全体系中的人性漏洞》这本书,今天继续给大家分享几篇社会工程相关的资料。1、《社工:黑客科学》案例:FBI局长詹姆斯·科米 (James Comey) 的社交账号在情报和国...
谷歌正在向所有账户推出密码终止技术
谷歌宣布让其个人帐户持有人使用称为“密码”的密码替代登录的一项重大努力。该功能今天面向公司的数十亿帐户推出,用户将能够主动寻找并启用它。谷歌表示,它计划在未来几个月推广密码,并开始推动账户持有人将他们...
T-Mobile 又发生新的数据泄露被盗事件
美国无线运营商 T-Mobile 通知一些客户,他们的个人信息在最近的数据泄露事件中遭到泄露。在收到系统上未经授权活动的警报后,该公司发现恶意行为者在 2 月下旬至 2023 年 3 月期间访问了“少...
实战 | 记一次250美金赏金的社交媒体帐户接管漏洞挖掘
大家好,今天的文章是关于一个常见的安全漏洞,该漏洞大多被安全研究人员和公司本身所忽视。在测试任何 Web 应用程序时,您可能在网站页脚中遇到过社交媒体句柄。单击任何社交媒体句柄(如Facebook、T...
【安全圈】谷歌云平台现“鬼魂漏洞”,能让恶意软件隐身
关键词漏洞据Dark Reading 4月21日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。这个被称为“GhostToken”...
记一次15000美金赏金的特斯拉内部账户的账户接管
在作为Tesla Bug Bounty Program 的一部分测试各种 Tesla 网络应用程序时,我创建了许多 Tesla 用户帐户。有一次,在创建新帐户时,我很好奇是否可以使用 Tesla 电子...
通过ACLs实现权限提升
文章前言在内网渗透测试中我们经常会在几个小时内获得域管理权限,而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值,在这种情况下公开的利用工具有助于发现和利用这些问题...
16