sage | CN-SEC 中文网

安全新闻

企业级VPN NetExtender任意文件删除到权限提升漏洞剖析

看似普通的文件删除漏洞，实则暗藏提升权限的‘机关’，SonicWall NetExtender的这些漏洞是如何被一步步攻破的？在网络安全的世界里，每一次漏洞的发现都是一场与时间赛跑的较量。在近期一次基...

06月14日19 views评论

阅读全文

安全文章

渗透测试-postmessage xss

介绍看国外好多这种漏洞，刚好挖掘某 SRC 的时候也发现了类似的点，所以觉得还是有必要记录一下介绍postMessage() 方法用于安全地实现跨源通信。参考 1：https://www.runoob...

06月08日14 views评论

阅读全文

安全新闻

苹果iMessage中的严重零点击 (zero-click) 漏洞

苹果iMessage中的严重零点击 (zero-click) 漏洞安全公司iVerify最近发布了一份名为“昵称 (Nickname)”的漏洞报告，揭示了一个存在于苹果iMessage中的严重零点击 ...

06月06日9 views评论

阅读全文

安全文章

利用 XSS 实现最大影响

— ﷽ — 最近查看我的数据时，我发现了一些有趣的事情。我报告最多的漏洞类型是XSS（跨站脚本）。我的 BugCrowd 提交类型和严重性这并不让我感到惊讶，我一直对客户端漏洞特别感兴趣。在这...

06月06日16 views评论

阅读全文

安全闲碎

图神经网络系列四：GraphSage

Inductive Representation Learning on Large Graph引言概要两类图算法在大规模图上学习节点embedding，在很多任务中非常有效，一般来说分位l两类算法：...

06月06日13 views评论

阅读全文

程序逆向

【免杀】C2免杀技术（十三）Inline Hook 前置篇

Hook技术Hook 技术是操作系统、软件开发和安全攻防中非常核心的技术手段之一。它的本质是“截获函数调用并插入自定义逻辑”。你可以把它理解为“在别人执行某个功能之前或之后偷偷插一脚”。一、Hook技...

06月02日30 views评论

阅读全文

一处价值 $2500 的 DOM XSS 漏洞

概述安全研究员 gamer7112 通过利用配置错误的 postMessage 处理器，在 Upserve 的登录页面（https://inventory.upserve.com/lo...

05月30日安全文章12 views评论

阅读全文

安全文章

介绍一种入侵 Office 365 账户的新型钓鱼技术

【翻译】Introducing a new phishing technique for compromising Office 365 accounts 针对 Microsoft 365 的全球持续...

05月26日28 views评论

阅读全文

程序逆向

社交软件4.0 版本-防撤回带提醒（符号恢复和字符串解密）

网上的防撤回都是搜字符串去Patch, 并没有去逆出撤回操作的真正逻辑, 且无法做到带提醒的效果。本文将分三步去逆向撤回操作的逻辑：1.符号恢复2.字符串解密3.函数逻辑逆向并采用dll劫持的方式达到...

05月19日10 views评论

阅读全文

程序逆向

【免杀】C2免杀技术（五）动态API

一、什么是动态API在C2免杀领域中，“动态API” 主要指的是绕过静态检测的一种技术手段，其本质是运行时动态解析和调用Windows API函数，而不是在程序编译阶段就明确引用这些API。这种方式可...

05月19日20 views评论

阅读全文

安全漏洞

CVE-2025-4427/4428：Ivanti EPMM 远程代码执行 - 技术分析

介绍作为安全研究人员，我们都知道在黑盒测试 Web 应用和 API 时，那种似曾相识的“舞蹈”。你点击一个端点，收到“缺少 blah 参数”或“blah 类型错误”的提示，在满足所有要求后，你常常会遇...

05月18日63 views评论

阅读全文

信息情报

美政府最高层通信存档工具被黑，通信记录形同裸奔

近日，一起看似不起眼的黑客攻击，揭开了美国政府高层“加密通信”背后令人震惊的漏洞。一名匿名黑客成功入侵了通信合规服务商 TeleMessage 的服务器，窃取了该公司旗下 TM SGNL 应用中大量敏...

05月07日21 views评论

阅读全文

企业级VPN NetExtender任意文件删除到权限提升漏洞剖析

渗透测试-postmessage xss

苹果iMessage中的严重零点击 (zero-click) 漏洞

利用 XSS 实现最大影响

图神经网络系列四：GraphSage

【免杀】C2免杀技术（十三）Inline Hook 前置篇

一处价值 $2500 的 DOM XSS 漏洞

介绍一种入侵 Office 365 账户的新型钓鱼技术

社交软件4.0 版本-防撤回带提醒（符号恢复和字符串解密）

【免杀】C2免杀技术（五）动态API

CVE-2025-4427/4428：Ivanti EPMM 远程代码执行 - 技术分析

美政府最高层通信存档工具被黑，通信记录形同裸奔

在线咨询

微信