信息泄露漏洞: 从一处访客预约小程序入手,在预约功能处,关注到以下信息。 可以看到这里被访人姓名显示的是自动获取,则这里就有一个通过手机号获取被访人姓名的接口,但在前端只显示了姓名,其实...
Ai + burpsuite@漏洞自动化检测搭建
一、当安全遇上人工智能:漏洞检测的技术革命在攻防对抗日益激烈的今天,传统漏洞检测方法面临效率瓶颈。小编将一步步教大家如何通过Cherry Studio的MCP服务构建"AI安全指挥官",实现BurpS...
mimikatz 番外篇之 阿威十八式(一)
,1初识mimikatz&一人之下 阿威十八式出自《一人之下》,有俩兄弟徐三徐四,依稀记得第一次看还在高二,一群异人在人间发生的故事,徐四创造的阿威18式,里面有观音坐lian,老汉推car,...
计算机方位与挖洞的量子纠缠关系简述
1 写在前面 其实这个话题呢我一年前就想过了 ,有点难以启齿,但目前确实没有人对这块进行研究或者运用到现实工作中去,玄学是永远不会改变的话题和结论,不排除创新,而科学是会变得不是定论,举个简单的例子关...
从SSRF到帐户接管
前言 当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不对其进行验证时,就会发生开放重定向。 /redirect?url=https://evil.com --&...
电信行业关键信息基础设施安全保护 安全管理总体要求(思维导图)
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则: ——以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络...
网络安全高级攻击与绕过技术
1.DDoS 与 CC 攻击对比 定义 DDoS 攻击(分布式拒绝服务攻击)通过控制大量僵尸主机(Botnet)向目标发送海量请求,耗尽带宽、计算或会话资源,导致服务不可用。 CC 攻击(Cha...
从SSRF到帐户接管
前言 当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不对其进行验证时,就会发生开放重定向。 /redirect?url=https://evil.com --&...
从 SSRF 到 RCE:一次众测Fastjson<=1.2.68反序列化RCE过程|挖洞技巧
0x01 前言在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据提示信息得到服务端接收的数据格式为json格式,再通过构造json报错语句...
英国司法部下属法律援助机构遭黑客攻击,确认申请人敏感数据遭窃
英国法律援助机构 (LAA) 已确认,最近发生的网络攻击比最初认为的更为严重,黑客在数据泄露中窃取了大量敏感的申请人数据。英国政府确认了这一数据泄露事件,并密切参与了事件首次披露后的调查。LAA 是英...
Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件
AhnLab 安全情报中心(ASEC)发布的文章《Larva-25004 组织(与 Kimsuky 相关)利用额外证书的案例 - 使用 Nexaweb 证书签名的恶意软件》揭示了与北朝鲜关联的 Kim...
NSFOCUS旧友记非正常人类研究中心被研究对象之Ga1ois(3)
作者: Ga1ois创建: 2025-05-22 08:00这篇在机场等飞机的时候写了一大半,回到家之后一个字都不想写了,如果不是被四哥召唤,我估计这篇就烂掉了[Lol]。早上看完四哥的公众号,想到还...
16256