网络安全研究人员近日发现,一场大规模的钓鱼活动正在通过Webflow内容分发网络(CDN)上的PDF文档传播Lumma窃取程序。这些PDF文档中包含虚假的验证码(CAPTCHA)图像,用于诱骗受害者下...
我从有限的存储XSS到开放重定向和偷偷摸摸的CSRF Referrer Bypass的旅程
🎯 介绍 在bug赏金狩猎的狂野世界中,有时您会偶然发现黄金。这是我在同一个程序中发现的两个独立错误的故事,但位于不同的地方。 一个最初是一个看似不可利用的存储型 XSS 漏洞,但通过一点创意,我把它...
网络攻击者借助SharpHide改良版,加大注册表检测难度
近期,网络攻击者开始利用改良版的 SharpHide 工具创建隐藏的注册表值,极大地增加了检测和删除的难度。这种技术利用了 Windows 注册表重定向机制,让标准工具难以识别和清除这些隐蔽的持久性攻...
OAuth2.0漏洞:当授权变成攻击
01定义OAuth2.0是一种开放标准,用于授权第三方应用访问用户资源,而无需共享用户凭证,它广泛应用于社交登录、API授权等场景。工作原理:定义三个不同方(即客户端应用程序、资源所有者和 OAuth...
干货 | 渗透测试中端口复用实现方案总结
常见边界拓扑 第一种情况 Inbound Stream ---> Firewall ---> Target Inbound Stream ---> Load Balance ---&...
恶意软件BadIIS侵袭亚洲,黑客利用SEO操控重定向至赌博网站
黑客利用恶意软件“BadIIS”篡改IIS服务器,通过SEO操控将用户重定向至非法赌博网站,攻击多个亚洲国家的互联网服务。据研究人员观察,网络攻击者正在针对亚洲地区的互联网信息服务(IIS)服务器发起...
警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【....
如何不使用Fuzz得到网站所有参数与接口?
访问某VUE站点,发现直接重定向要求从飞书登陆,立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因, 把这个注释掉并保存,...
游戏数据安全——论各大防封手段
PS:本文仅供交流学习 维护绿色游戏环境 从你我做起/狗头-本文以热门FPS游戏《和平精英》为例子- 游戏辅助有很大市场,也就说明号没了了的更多,于是“防封”就开始进入了红信玩家事业 大家可以看到...
2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新
Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Profes...
Bypass一些命令注入限制的姿势
命令注入OS命令注入(也称为shell注入)是一种web安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意操作系统(OS)命令,通常会完全破坏应用程序及其所有数据。通常,攻击者可以利用OS命令注入...
红队-shell编程基础(完结)
笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负 不同脚本的互相调用 1.互相调用 首先使用 rm*.sh 删掉所有shel...
18