ChatGPT 在企业和个人用户中广泛使用,是寻求访问敏感信息的攻击者的主要目标。在这篇博文中,我将向您介绍我在 ChatGPT 中发现的两个跨站脚本 (XSS) 漏洞以及其他一些漏洞。当它们链接在一...
浅谈云安全之反向获取dockerfile
本文主要讲几个docker利用小技巧,以及平时应急响应或者渗透测试中可能遇到的场景。在攻防中,拿下的机器可能有很多镜像,此时如果将这些镜像的构建信息还原,获取到了dockerfile中的敏感信息,那其...
【开源情报搜集-OSINT】学习记录:第一篇
个人认为,学习OSINT技术前,应该对OSINT及情报体系、情报分析工作本身进行充分了解,所以第一篇内容,可能看起来“废话”较多,更多为概念性的东西#参考的互联网资源包括:维基百科、丁爸情报分析等【说...
如何让SSRF漏洞起死回生
1. 发现敏感接口首先,我从 Hackerone 收集了一些项目信息。我进行了常规的一些测试,例如 Web bug 和 IDOR,但我完全没有发现任何机会。过滤器和身份验证机制非常强大,使用 uuid...
SSRF绕过实现窃取字节跳动LarkSuite元数据
前言LarkSuite是字节跳动旗下的一款集成办公套件,提供团队协作、通讯、日程管理等功能的企业级应用。SSRF 通常存在于以下功能点:1、消息功能:部分聊天功能会渲染任何链接的预览。2、文件转换:将...
超轻量级日志系统 Loki,真香~
Loki 简介Loki 的第一个稳定版本于 2019 年 11 月 19 日发布,是 Grafana Labs 团队最新的开源项目,是一个水平可扩展,高可用性,多租户的日志聚合系统。Loki 是专门用...
MongoDB 遭遇网络攻击,大量用户数据信息泄露
Bleeping Computer 网站消息,MongoDB 近期表示其检测到了一次网络攻击行为,公司内部系统被威胁攻击者攻破,部分客户数据泄露。 在与 CISO Lena Smart 往来的电子邮件...
揭开数字侦探的面纱:开源情报调查的技术和方法(03)
在这篇文章中将深入了解开源情报技术和方法。通过掌握这些方法,将能够成功地进行全面且细致的开源情报调查。接下来,让情报分析师小编和你一起探讨数字侦探所采用的一些关键技术,让你成为真正的情报分析专家!相关...
【安全圈】MongoDB 表示客户数据在网络攻击中暴露
关键词 数据泄密 MongoDB 警告称,该公司本周早些时候检测到的一次网络攻击中,其公司系统遭到破坏,客户数据遭到泄露。 在 CISO Lena Smart 发送给 MongoDB 客户的电子邮件中...
【漏洞预警】Apache Superset 默认示例数据库权限提升漏洞CVE-2023-40610
漏洞描述:Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。受影响版本中,默认情况下示例数据库表是在 Superset 的元数据数据库上创建,导致用...
首次!国家电信监控系统泄露公民数据后,遭数据擦除勒索
关注我们带你读懂网络安全孟加拉国国家电信监测中心数据库在公网暴露,类型极丰富的各类数据在线泄露(部分可能为测试数据)。前情回顾·大数据超能力首次揭秘!国家级移动通信监控系统细节曝光,伊朗如何管控移动通...
Cobalt Strike的各类反向上线操作
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言Cobalt Strike 使用 GUI 框架 SWING(一种java GUI的...
13