重定向 - 第 3 | CN-SEC 中文网

安全文章

ViciousTrap - 渗透、控制、引诱：将边缘设备大规模转变为蜜罐

关键要点Sekoia.io 调查了一个绰号为 ViciousTrap 的威胁行为者，他入侵了超过 5,500 台边缘设备，并将其变成了蜜罐。该攻击者正在监控 50 多个品牌，包括 SOHO 路由器、S...

05月26日60 views评论

阅读全文

安全闲碎

远程桌面传输大于2GB文件失败该如何处理

最近在使用Windows远程桌面（RDP）连接时，遇到一个问题通过复制粘贴方式传输大于2GB的文件时，操作失败并报错。经过查阅微软官方文档及相关资料，发现这是远程桌面服务本身对剪贴板文件传输大小的限制...

05月26日34 views评论

阅读全文

安全文章

从SSRF到帐户接管

前言当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不对其进行验证时，就会发生开放重定向。 /redirect?url=https://evil.com --&...

05月26日31 views评论

阅读全文

安全文章

从SSRF到帐户接管

前言当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不对其进行验证时，就会发生开放重定向。 /redirect?url=https://evil.com --&...

05月26日20 views评论

阅读全文

安全文章

【CVE-2025-4123】：Grafana SSRF 及帐户接管利用

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c...

05月24日50 views评论

阅读全文

安全文章

通过 Beacon 获取 Microsoft Entra 刷新令牌

传统方法通常依赖从终端提取主刷新令牌 (PRT)，这可通过信标（如使用 aad_prt_bof 或 Kozmer 的 request_aad_prt 之类的 BOF）实现。然而，当信标运行在未加入域的...

05月23日31 views评论

阅读全文

安全新闻

Sophos 发现基于 SVG 的网络钓鱼攻击威胁日益严重

Sophos 披露了一种创新型网络钓鱼手段：攻击者利用可缩放矢量图形（SVG）文件突破反垃圾邮件与反网络钓鱼防护机制，借此传播恶意链接实施凭证盗窃。Sophos 指出，当前电子邮件钓鱼攻击愈发猖獗，不...

05月14日24 views评论

阅读全文

安全文章

$9000 赏金的漏洞

前言国外白帽小哥在一次渗透测试时，发现目标网站使用了第三方支付服务-PayU，于是小哥开始对该支付服务进行漏洞挖掘，先后尝试了常规漏洞测试、双重消费、条件竞争等，毫无意外，均告失败。重大发现小哥...

05月05日22 views评论

阅读全文

安全文章

【白帽狩猎日记】一个支付逻辑漏洞，怒赚 $9000 赏金

04月29日15 views评论

阅读全文

安全新闻

【钓鱼情报】黑产利用中文域名层层面具钓鱼诈骗

近期捕获到某黑产组织利用中文域名不易被检测的机制投递钓鱼邮件，企图诈骗的案例，一旦中招后还会自动下载恶意代码占领主机，进一步横向移动，骗取同事信任。整个过程用到了多重技术手段，包括：可信域名伪装,恶意...

04月24日26 views评论

阅读全文

安全文章

混淆重定向SVG钓鱼邮件技术分析

近日，作者收集到一批恶意钓鱼邮件，大多数由html，pdf，svg的文件格式上传发送至企业邮箱中，通常情况下大多数恶意邮件都会被outlook，gmail等放入垃圾箱，但这些附件却顺利进入到了企业员工...

04月23日16 views评论

阅读全文

安全文章

赏金猎人 | 利用 Web3 的隐藏攻击面：Netlify Next.js 库上进行XSS攻击

前言随着 Phantom、Metamask 和 Coinbase Wallet 等 Web3 浏览器扩展程序的推出，越来越多的看似“静态”的网站允许用户直接从浏览器与以太坊和 Solana 等区块链网...

04月23日27 views评论

阅读全文

ViciousTrap - 渗透、控制、引诱：将边缘设备大规模转变为蜜罐

远程桌面传输大于2GB文件失败该如何处理

从SSRF到帐户接管

从SSRF到帐户接管

【CVE-2025-4123】：Grafana SSRF 及帐户接管利用

通过 Beacon 获取 Microsoft Entra 刷新令牌

Sophos 发现基于 SVG 的网络钓鱼攻击威胁日益严重

$9000 赏金的漏洞

【白帽狩猎日记】一个支付逻辑漏洞，怒赚 $9000 赏金

【钓鱼情报】黑产利用中文域名层层面具钓鱼诈骗

混淆重定向SVG钓鱼邮件技术分析

赏金猎人 | 利用 Web3 的隐藏攻击面：Netlify Next.js 库上进行XSS攻击

在线咨询

微信