漏洞概述:MarkText 存在DOM XSS漏洞,允许任意 JavaScript 代码在 MarkText 主窗口的上下文中运行。如果用户从恶意网页复制文本并将其粘贴到 MarkText 中,则可以...
XSS漏洞检测和利用 | 干货
XSS漏洞原理 XSS漏洞是一种跨站脚本攻击,攻击者通过构造恶意脚本传入服务器,并且被当成前端脚本执行了。 XSS分类 反射型XSS 反射型XSS是攻击者将恶意脚本注入到请求参数中,服务器将参数返回给...
发现一个随意转载别人文章还打着原创标签的小子
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!最近忙着学新东西,公众号也没有什么输出,于是联系上北山安全学院的负责人钟北山先生,准备转载他的几篇原创漏洞挖掘文章作为公众号推文相信这几篇文章...
安卓30亿追踪网络的蓝牙标签在这里
苹果(Apple)的 AirTags 发布后,谷歌(Google)突然对蓝牙追踪器市场产生了兴趣。该公司已经通过安卓(Android)的30 亿活跃设备悄悄推出了世界上最大的蓝牙跟踪网络,现在跟踪器开...
漏洞通告:Google Chrome Skia整数溢出漏洞 CVE-2023-2136
漏洞名称:Google Chrome Skia整数溢出漏洞 CVE-2023-2136组件名称:Google Chrome影响范围:Google Chrome < 112.0.5615.137漏...
卫星照片的ChatGPT已经存在
来自 Planet 的卫星照片显示,2022 年 2 月 28 日,军用飞机抵达距离乌克兰边境约 60 公里(40 英里)的白俄罗斯 Luninets 空军基地。场景:美国对手正在研制新型无人机、轮船...
【漏洞通告】Google Chrome V8类型混淆漏洞CVE-2023-2033
漏洞名称:Google Chrome V8类型混淆漏洞(CVE-2023-2033)组件名称:Google Chrome影响范围:Google Chrome < 112.0.5615.121漏洞...
最新H1漏洞披露:通过作用域标签绕过 CSP 的存储 XSS,获得$13,950赏金奖励
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:H1最近披露了一处GitLab的...
安全领域中使用机器学习的注意事项
一、简介随着计算机计算能力的提高和大量数据集的公开,机器学习算法在许多不同领域取得了重大突破。这一发展影响了计算机安全,催生了一系列基于学习的安全系统,例如恶意软件检测、漏洞发现和二进制代码分析等。尽...
CVE-2023-23924 通过 `phar` URL 包装器在 PHP < 8 上反序列化任意对象
Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。这可能会导致通过p...
edusrc漏洞挖掘|反手一个标签
作者:辛巴大佬以下是前面三天的内容:edusrc漏洞挖掘第一天edusrc漏洞挖掘第二天edusrc漏洞挖掘第三天老规矩,还是对edusrc漏洞挖掘排名第一的上海交通大学进行漏洞挖掘。还是我们之前收集...
Dompdf PHP< 8 上反序列化任意对象
Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。phar这可能会导...
10