页面 - 第 9 | CN-SEC 中文网

安全新闻

一单位网站主页第三方链接遭篡改跳转博彩网站遭北京网警约谈

8月19日，据“公安部网安局”今日消息，2023年6月，北京市公安局网安总队发现北京某单位二级页面显示博彩网站内容。经进一步核查，事件的起因系该单位主页上链接到其签约广告商的链接域名停用后，被一博彩...

08月24日68 views评论

阅读全文

安全文章

【$3400】PayPal 1Click，攻击者轻松窃取用户余额！

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。文章首发于个人博客：https://myb...

08月17日31 views评论

阅读全文

安全文章

CVE-2023-27178 GDidees CMS任意文件上传漏洞复现与利用分析

0x00 团队声明该漏洞为我团队漏洞监测平台发现，仅供学习参考使用，请勿用作违法用途，否则后果自负。 0x01 漏洞概述漏洞编号：CVE-2023-27178 GDidees CMS是法国一款开源...

08月08日255 views评论

阅读全文

安全百科

iframe注入和非法重定向

iFrame注入是一种非常常见的跨站点脚本（或XSS）攻击。它由一个或多个iFrame标签组成，这些标签已插入页面或帖子的内容中，并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情...

08月06日94 views评论

阅读全文

安全新闻

新的网络钓鱼攻击欺骗Microsoft 365身份验证系统

电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告，详细阐述了最近发现的一起网络钓鱼攻击，这起攻击成功欺骗了Microsoft 365身份验证系统。据Vade的威胁情报和响应中心（TIR...

08月06日26 views评论

阅读全文

安全新闻

新的网络钓鱼诈骗欺骗德国Anga媒体、宽带会议

Anga Com会议是欧洲领先的宽带、电视和在线商业平台，总部位于德国。然而，在最新的网络钓鱼诈骗中，骗子正在利用该平台窃取个人数据。在狡猾的网络欺骗展示中，黑客利用德国著名的Anga Com会议的声...

07月28日41 views评论

阅读全文

安全工具

Mantra - 用于查找JS文件和页面中的API密钥泄漏的工具

该的工具是在Go中创建的，其主要目标是在JavaScript文件和HTML页面中搜索API密钥。它的工作原理是检查网页和脚本文件的源代码，以查找与 API 密钥相同或相似的字符串。这些密钥通常用于对...

07月21日11 views评论

阅读全文

安全工具

【漏洞扫描】全网首发：Invicti Enterprise On-Premises 17 Jan 2023 v23.1.0

全网首发：Invicti Enterprise On-Premises 17 Jan 2023 v23.1.0 更新日志新功能添加了扫描控制中心以暂停所有扫描，并在需要时暂停和恢复所有扫描。添加...

07月15日135 views评论

阅读全文

安全文章

界面劫持之拖放劫持分析

01 拖放劫持发展历程在2010的Black Hat Europe大会上，Paul Stone提出了点击劫持的技术演进版本：拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多（如复制粘贴、小游戏等等...

07月07日64 views评论

阅读全文

实战|记一次SSO绕过的漏洞挖掘

概括在 Hackerone AWC 2023 期间对雅虎资产进行侦察时，我发现了一个主机foo.bar.yahoo.com。我认为它一定是工程师的一些内部工具，列出的页面很少，但单击任何页面都会重定向...

07月03日安全文章39 views评论

阅读全文

Afuzz 一款适用于自动化Bug Bounty的敏文文件或路径发现工具

大家好，我是BaCde，过年期间开发了Afuzz这款工具。主要用于自动化Bug Bounty中的一部分，前段时间上传到了Github上。今天我就来给大家介绍一下它与其他同类工具的不同，并欢迎大家试用并...

07月03日安全工具88 views评论

阅读全文

安全文章

SSTI模板注入到 RCE

0x00 前言 Bagisto版本：1.5.1 0x01 内容概览看到页面功能，可以创建和自定义电子商务页面。正如你在下图中看到的，有可能在页面上放置一段 HTML 代码，看着它，我立即想起了 X...

06月28日46 views评论

阅读全文

一单位网站主页第三方链接遭篡改跳转博彩网站遭北京网警约谈

【$3400】PayPal 1Click，攻击者轻松窃取用户余额！

CVE-2023-27178 GDidees CMS任意文件上传漏洞复现与利用分析

iframe注入和非法重定向

新的网络钓鱼攻击欺骗Microsoft 365身份验证系统

新的网络钓鱼诈骗欺骗德国Anga媒体、宽带会议

Mantra - 用于查找JS文件和页面中的API密钥泄漏的工具

【漏洞扫描】全网首发：Invicti Enterprise On-Premises 17 Jan 2023 v23.1.0

界面劫持之拖放劫持分析

实战|记一次SSO绕过的漏洞挖掘

Afuzz 一款适用于自动化Bug Bounty的敏文文件或路径发现工具

SSTI模板注入到 RCE

在线咨询

微信