近日,Twilio 称发现了一个不安全的 API 端点,允许威胁行为者非法验证数百万 Authy 多因素身份验证用户的电话号码,这可能导致他们收到短信钓鱼,同时还可能会遭遇 SIM 卡交换攻击。 Au...
TTP威胁情报驱动威胁狩猎
今天跟大家分享一下专业网络安全厂商如何利用TTP情报狩猎APT。建议大家仔细阅读,否则无法理解其中的精髓! 术语定义: 1.TTP(战术、技术和程序或过程,Tactics, Techniques, a...
重定向跳转 -> XSS漏洞 -> 升级高危
看到一个比较有趣的文章,有一定参考意义,比较适合小白体质。 正文 在 TikTok 上搜索时,我发现了一个常规的登录页面。我首先看了链接,没有找到任何有趣的参数。你正确登录以猜测重定向,然后将请求传递...
红队的 Active Directory 枚举
目录服务是许多组织的核心和灵魂,无论是 Active Directory、OpenLDAP 还是其他更奇特的东西,作为大量知识的来源,它通常充当红队行动期间内部侦察和其他攻击的渠道。 考虑到这一点,我...
最新BurpSuite2024.4.3专业版中英文版下载Windows/Linux/Mac仅支持Java21以上
前言 Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac 01 更新介绍 这个版本为Burp Scanner引入了几个新功能,...
Hackerone 附件功能存在IDOR越权漏洞15000$
-->进入正题啦 Hackerone 披露报告: Hackerone 提供了一种用于向各种程序报告漏洞的表格。其中表单支持上传文件和预览(图像或视频),但不允许使用属于其他帐户的文件 ID。但通...
ATT&CK -
终端式拒绝服务 Endpoint Denial of Service 攻击者可能执行端点拒绝服务(DoS)攻击,以降低或阻止用户获得服务。可以通过耗尽那些服务所在的系统资源或利用系统导致持续的崩溃状况...
【Android取证篇】渗透测试工具apk2url快速提取APK内的IP和URL地址
通过渗透测试工具apk2url快速检索APK开发过程中没有删掉的URL地址,来发现一些搜索引擎、子域名查找不到的资源,从而进一步收集信息查找后台等---【蘇小沐】 1 实验环境 apk2url,[v1...
13000多个Ivanti网关因严重漏洞遭受网络攻击
近日,数千个Ivanti Connect Secure和Policy Secure端点受到多个安全问题的攻击,这些问题在一个多月前首次披露,并由供应商逐步修复。具体漏洞为CVE-2024-22024、...
数据安全|API接口安全性
前言伴随互联网革命快速创新发展,API 需求的日益剧增,针对 API 的攻击几乎遍布各个行业,据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万,游戏、社交、电商、制造等行业依然是...
云中的端点安全需要了解的内容
云安全是当今科技界的一个流行词,但并非没有充分的理由。端点安全现在是全球企业最关心的问题之一。随着数据盗窃和安全漏洞事件的不断增加,公司必须对其所有端点使用高效的端点安全性以防止任何数据丢失。安全漏洞...
换行绕过内省查询敏感参数越权删除用户
前言 声明:这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享等等,资源多多,干...
9