访问某VUE站点,发现直接重定向要求从飞书登陆,立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因, 把这个注释掉并保存,...
DNS系统又现新攻击手法,轻松接管域名
域名劫持警报!黑客利用新发现的 Sitting Ducks 攻击轻松地将您重定向到虚假网站。保护自己免受网络钓鱼和数据泄露的侵害。Infoblox 和 Eclypsium 的网络安全研究人员合作,在域...
子域名模糊测试实现RCE
正文 在之前测试一个私人项目时,我报告了admin.Target.com上的Auth Bypass漏洞,这将导致SQLI&RCE ,该漏洞在报告后仅一天就被修复。 现在重拾该应用程序,对子域进...
诱骗 IoT 恶意软件跟踪 C&C 服务器
工作来源ASIA CCS 2024工作背景在分析 IoT 僵尸网络时,识别 C&C 服务器至关重要。C&C 服务器的 IP 地址一直都是商业威胁情报的重要组成部分,由于 C&C...
攻击者正滥用 URL 保护服务来隐藏网络钓鱼链接
关键词网络钓鱼据网络安全公司Barracuda近期的一项研究报告,一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件,到目前为止这些攻击已针对至少数百家公司。这些攻击主要利用了电子邮件安全网关...
攻击者正滥用 URL 保护服务来隐藏网络钓鱼链接
关键词网络钓鱼据网络安全公司Barracuda近期的一项研究报告,一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件,到目前为止这些攻击已针对至少数百家公司。这些攻击主要利用了电子邮件安全网关...
Port Shadow攻击允许 VPN 流量拦截和重定向
导 读研究人员警告称,VPN 受到一个漏洞的影响,该漏洞可被利用来发动中间人 (MitM) 攻击,从而使攻击者能够拦截和重定向流量。这项研究由亚利桑那州立大学、新墨西哥大学、密歇根大学和多伦多大学公民...
子域名模糊测试价值35,000赏金!
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
记一次通过子域模糊测试识别漏洞并获取高额赏金的经历
本文由漏洞猎人Abdullah Nawaf于2024年3月18日发表在Medium网站,本文记录了Abdullah Nawaf的一次漏洞挖掘过程,而此次漏洞挖掘也成功让他获取到了三万五千美元的漏洞奖金...
1000美元:重定向的故事
重定向重定向漏洞将用户导致重定向到恶意网站。当钓鱼链接中使用了合法URL和有效的SSL证书时,用户较不容易注意到后续的重定向到不同域。这种类型的攻击也是严重漏洞(如SSRF)的前兆。在某些厂商中,该洞...
重定向跳转 -> XSS漏洞 -> 升级高危
看到一个比较有趣的文章,有一定参考意义,比较适合小白体质。 正文 在 TikTok 上搜索时,我发现了一个常规的登录页面。我首先看了链接,没有找到任何有趣的参数。你正确登录以猜测重定向,然后将请求传递...
Google Analytics开放重定向漏洞
0x00 漏洞编号CVE-2024-02500x01 危险等级中危0x02 漏洞概述Google Analytics是一款功能强大的企业级网站分析解决方案,为网站所有者、市场营销人员和其他相关人士提供...
18