sec | CN-SEC 中文网

安全漏洞

【成功复现】Pichome路径遍历漏洞 (CVE-2025-1743) POC

0x01漏洞介绍Pichome是zyx0814个人开发者的一款图片与媒体文件管理功能强大的开源网盘程序。 Pichome 2.1.0版本存在路径遍历漏洞，该漏洞源于文件/index.php?mod=t...

1小时前8 views评论

阅读全文

安全文章

对微软组件对象模型 (COM)、RPC 和 AMSI 攻击面的研究 - Sabotage Sec

Love for Microsoft Component Object Model, RPC and AMSI attack surface 免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和...

23小时前13 views评论

阅读全文

安全开发

远程开发引起的隐形风险与合规守护

在互联网上，没人知道你是一条狗（On the Internet, nobody knows you’re a dog）。这句话源自《纽约客》1993年7月5日刊登的一幅由彼得·施泰纳创作的漫画，成为...

07月06日13 views评论

阅读全文

安全新闻

BlockSec | Resupply 协议攻击事件的深度分析和思考

2025 年 6 月 26 日，稳定币协议 Resupply[1] 在以太坊主网部署的合约遭受攻击，损失了约 $10M 的资产。由于相关合约的价格预言机（price oracle）的实现方式存在问题，...

07月04日27 views评论

阅读全文

安全文章

帐户接管

大家好，我在例行测试中发现了一个有趣的链条。我想与您分享这一发现。让我们先解释一下这一发现。在检查过程中，我发现了 Broken Access Control 漏洞。后来，我注意到了 “Securit...

06月26日10 views评论

阅读全文

代码审计

记一次（咸鱼、转转、交易猫）假客服系统的代码审计

免责声明：本公众号太乙Sec实验室所提供的实验环境均是本地搭建，仅限于网络安全研究与学习。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作，所导致的直接或间...

06月25日34 views评论

阅读全文

安全新闻

美国钢铁巨头纽柯公司证实5月遭网络攻击导致数据泄露

北美最大钢铁制造商纽柯公司证实，在五月遭遇的网络攻击中确有部分数据遭窃。此前该公司已就该事件发布初步声明。纽柯公司（纽约证券交易所代码：NUE）是美国主要钢铁企业，总部位于北卡罗来纳州夏洛特市。作为美...

06月24日12 views评论

阅读全文

安全文章

【渗透测试】 OWASP 前 10 寻找 OAUTH 漏洞的方法

点击上方蓝字“Ots安全”一起玩耍在其他所有网站中，OAuth 都是需要集成的重要元素。访问委托的想法简直太棒了，因为它减少了开发人员从头开始构建注册/登录的整体头痛。但实现很简单，你的任何错误配置都...

06月18日8 views评论

阅读全文

安全文章

一次非常规功能点的存储XSS

原文链接：https://forum.90sec.com/t/topic/2292一般XSS点是在留言、新增项等等地方，一般也都需要登录本文记录的试一次渗透中碰到的非常规的XSS功能点，无需登录所以也...

06月15日33 views评论

阅读全文

安全文章

访问控制中断 - OTP 绕过 - 帐户接管

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

06月13日21 views评论

阅读全文

安全工具

Zer0 Sec团队内部实战靶场WP（含靶场下载链接）

PART-01宇宙免责本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。严禁将本文中的任何信息用于...

06月12日30 views评论

阅读全文

安全工具

CodeSec：软件测评中心的源代码安全审计利器

在数字化时代，软件测评中心作为保障软件质量与安全的关键机构，面临着日益复杂的源代码安全审计挑战。随着软件漏洞导致的安全事件频发，以及国家相关标准的不断完善，测评中心亟需高效、精准的源代码安全审计解决方...

06月11日28 views评论

阅读全文