issue | CN-SEC 中文网

安全闲碎

一年时间从小白成为 OpenTelemetry Member 有感

字数 891，阅读大约需 5 分钟前段时间申请成为了 OpenTelemetry 的 Member 通过了，算是完成了一个阶段性目标；从 24 年的 2 月份的第一个 issue 到现在刚好一年的时间...

04月23日6 views评论

阅读全文

安全文章

赏金故事 | 入侵 Google 自家的漏洞追踪系统，并拿下1.5w$

你听说过 Google 的 Issue Tracker 吗？大概没有，除非你是 Google 的员工，或者是最近在使用 Google 工具时提交过漏洞的开发者。我之前也从未听说过，直到有...

04月14日9 views评论

阅读全文

Koha CVE-2025-22954：lateissues-export.pl SQL 注入

漏洞获取地址在文章末尾概述Koha是网页界面的图书馆自动化管理系统，使用 MariaDB 或 MySQL 等SQL数据库，图书管理通讯格式为机读编目格式标准，查询界面可以是 Z39.50 或 Retr...

03月21日安全漏洞19 views评论

阅读全文

安全文章

技术分析：GitHub OAuth钓鱼攻击，利用安全警报Issue窃取开发者权限

近日，GitHub 平台爆发大规模钓鱼攻击。攻击者通过向近 12,000 个仓库发送伪造的“Security Alert”议题（Issue），诱骗开发者授权名为“gitsecurityapp”的恶意 ...

03月18日9 views评论

阅读全文

安全新闻

钓鱼攻击在GitHub发布虚假安全告警，使用OAuth 应用劫持账号

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士一个影响广泛的钓鱼攻击通过虚假的“安全告警” issue 对近1.2万个 GitHub 仓库发起攻击，诱骗开发人员授权一款恶意 OAuth应用，从而获...

03月17日27 views评论

阅读全文

安全漏洞

滥用 libxml2 特性绕过 GitHub Enterprise 上的 SAML 身份验证 (CVE-2025-23369)

去年，GitHub 针对影响其 SAML 身份验证实施的问题发布了一些 CVE，例如，您可以在 ProjectDiscovery 博客上阅读有关 CVE-2024-4985/CVE-2024-948 ...

02月10日33 views评论

阅读全文

移动安全

Android Web攻击表面

下面是一些 Android 特定的 Chromium 行为的说明。意图攻击滥用 Android Intent，因为它们需要用户激活（除非执行受信任的 CCT/TWA 导航），但与外部协议不同，不会提示...

02月04日10 views评论

阅读全文

安全工具

Tissue：又一款老司机教材刮削神器，支持Jellyfin、Emby、Kodi

Tissue，一个让你告别凌乱教材（自行体会😊）、轻松构建个人学习库的神奇工具！它能够自动下载海报、匹配元数据，让你的教材在Jellyfin、Emby、Kodi等媒体服务器软件中，像书籍一样整齐排列，...

01月27日59 views评论

阅读全文

安全工具

什么是ChkApi？（专为金融行业开源的API安全检测工具）

前言：我们为什么开源？我们在业余时间完成了“ChkApi”的构建，帮助了我们大幅度的提升了API安全与大幅度降低了重复性的人工劳动。开源ChkApi的主要原因是为了共享我们在API安全领域“我们的...

01月21日70 views评论

阅读全文

安全文章

gitlab漏洞系列-越权获取合并事件的个数

背景复现步骤gitlab漏洞系列-越权获取合并事件的个数声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法...

01月13日9 views评论

阅读全文

安全漏洞

gitlab漏洞系列-存储型XSS所导致的管理员权限升级

背景复现步骤gitlab漏洞系列-存储型XSS所导致的管理员权限升级声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者...

01月13日40 views评论

阅读全文

gitlab漏洞系列-存在于markdown中的存储型XSS

背景复现步骤影响绕过csp示例后续gitlab漏洞系列-存在于markdown中的存储型XSS声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全...

01月13日安全文章10 views评论

阅读全文

一年时间从小白成为 OpenTelemetry Member 有感

赏金故事 | 入侵 Google 自家的漏洞追踪系统，并拿下1.5w$

Koha CVE-2025-22954：lateissues-export.pl SQL 注入

技术分析：GitHub OAuth钓鱼攻击，利用安全警报Issue窃取开发者权限

钓鱼攻击在GitHub发布虚假安全告警，使用OAuth 应用劫持账号

滥用 libxml2 特性绕过 GitHub Enterprise 上的 SAML 身份验证 (CVE-2025-23369)

Android Web攻击表面

Tissue：又一款老司机教材刮削神器，支持Jellyfin、Emby、Kodi

什么是ChkApi？（专为金融行业开源的API安全检测工具）

gitlab漏洞系列-越权获取合并事件的个数

gitlab漏洞系列-存储型XSS所导致的管理员权限升级

gitlab漏洞系列-存在于markdown中的存储型XSS

在线咨询

微信