昨天给大家推荐了《社会工程:安全体系中的人性漏洞》这本书,今天继续给大家分享几篇社会工程相关的资料。1、《社工:黑客科学》案例:FBI局长詹姆斯·科米 (James Comey) 的社交账号在情报和国...
谷歌正在向所有账户推出密码终止技术
谷歌宣布让其个人帐户持有人使用称为“密码”的密码替代登录的一项重大努力。该功能今天面向公司的数十亿帐户推出,用户将能够主动寻找并启用它。谷歌表示,它计划在未来几个月推广密码,并开始推动账户持有人将他们...
T-Mobile 又发生新的数据泄露被盗事件
美国无线运营商 T-Mobile 通知一些客户,他们的个人信息在最近的数据泄露事件中遭到泄露。在收到系统上未经授权活动的警报后,该公司发现恶意行为者在 2 月下旬至 2023 年 3 月期间访问了“少...
实战 | 记一次250美金赏金的社交媒体帐户接管漏洞挖掘
大家好,今天的文章是关于一个常见的安全漏洞,该漏洞大多被安全研究人员和公司本身所忽视。在测试任何 Web 应用程序时,您可能在网站页脚中遇到过社交媒体句柄。单击任何社交媒体句柄(如Facebook、T...
【安全圈】谷歌云平台现“鬼魂漏洞”,能让恶意软件隐身
关键词漏洞据Dark Reading 4月21日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。这个被称为“GhostToken”...
记一次15000美金赏金的特斯拉内部账户的账户接管
在作为Tesla Bug Bounty Program 的一部分测试各种 Tesla 网络应用程序时,我创建了许多 Tesla 用户帐户。有一次,在创建新帐户时,我很好奇是否可以使用 Tesla 电子...
通过ACLs实现权限提升
文章前言在内网渗透测试中我们经常会在几个小时内获得域管理权限,而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值,在这种情况下公开的利用工具有助于发现和利用这些问题...
企业将安全风险引入云环境
单位选择云的最大原因之一是其安全性,但是云安全同时引入新安全问题,同时一些旧安全也会因企业的安全认知局限性,引入云环境。虽然云计算及其多种形式(私有云、公共云、混合云或多云环境)在过去十年中随着创新和...
如何防止员工盗窃数据?
前员工可能企图通过暗网出售前雇主的帐户凭据。现任员工可能录下首席执行官的机密演讲内容,然后将录音链接发送给外部媒体。现有员工可能与第三方共享客户名单,然后客户名单被出售给竞争对手。这些是员工队伍安全提...
实战 | 记一次1800美金的账户接管漏洞挖掘
一家 Web3 公司邀请我测试他们的在线基础设施是否存在安全漏洞。 在注册过程中,我注意到他们使用的是 Google OAuth,这促使我进一步渗透。 该应用程序请求访问用户联系人的权限,在授予此权限...
企业仍在将安全风险引入云环境
单位选择云的最大原因之一是其安全性,但是云安全同时引入新安全问题,同时一些旧安全也会因企业的安全认知局限性,引入云环境。虽然云计算及其多种形式(私有云、公共云、混合云或多云环境)在过去十年中随着创新和...
【技术干货】CVE-2022-26138 Confluence Server硬编码漏洞分析
[email protected]实验室 漏洞描述 7月21日,Atlassian官方发布了2022年7月的安全更新,其中涉及到Confluence Server的多个漏洞,其中CVE-2022-2613...