WordPress的Jupiter X Core插件存在严重安全漏洞,使得超过9万个网站面临本地文件包含(LFI)和远程代码执行(RCE)攻击的风险。该漏洞被追踪为CVE-2025-0366,CVSS...
XSS — 使用 Hex 溢出绕过 WAF
今天,我将写我如何使用 Hex Overflow 绕过 BIG IP Local Traffic Manager (F5 Networks) Web 应用程序防火墙的文章。 故事会直线发展,但实际上情...
XSS漏洞挖掘上
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关...
SVG 文件构成新型网络钓鱼威胁
通过电子邮件进行网络钓鱼攻击的犯罪分子加大了对一种旨在绕过现有反垃圾邮件和反网络钓鱼保护的新威胁载体的滥用:使用一种名为 SVG 的图形文件格式。此类攻击始于带有 .svg 文件附件的电子邮件,于去年...
Imperva WAF Bypass XSS
<svg><set onbegin=d=document,b='`',d['loca'+'tion']='javascript:aler'+'t'+b+domai...
Bug Bounty Tips 0004
a.注册时在用户名,邮箱等字段测试XSS使用构造的代码进行注册,看登录后是否会触发xss。 # 用户名字段:<svg/onload=confirm(1)># 邮件字段:"><s...
【独孤九剑】攻防实战详情
你若不勇敢,谁又可以替你坚强?独孤九剑第一式: 这里过滤了 =()构造payload:?data="><svg><script>%26%23x65%3B%26%23x76...
【开源工具】-图像恶意负载注入 MetaInjector
MetaInjector MetaInjector 是一款通过向图像元数据中注入恶意负载(如 XSS、SQL 注入、远程代码执行等)来测试安全性的工具。该工具支持 JPEG、PNG 和 SVG 等图像...
Mutation XSS 详解、CVE 和挑战
Mutation XSS Explained, CVE and Challenge解析 HTML 以移除不安全元素听起来很棒,直到你仔细查看 HTML 规范。其令人难以置信的复杂性使这成为一项艰巨的任...
使用未知技术发现多个 XSS 漏洞
今天我将讨论使用不同技术的多种 XSS 攻击,这是我在各种漏洞赏金计划中发现的。XSS:(跨站点脚本)是一种安全漏洞,当攻击者将恶意脚本注入其他用户查看的网页时就会发生这种情况。XSS 攻击旨在在受害...
快速且肮脏的混淆 JavaScript 分析
正如日记条目“增加网络钓鱼 SVG 附件”中提到的,我有一个带有严重混淆的 JavaScript 的网络钓鱼 SVG 样本。由于我不想花时间进行静态分析,因此我进行了快速动态分析。TL;DR:我在与 ...
利用域名劫持构建隐蔽网络,坐鸭式攻击成网络犯罪新威胁
11月20日,星期三 ,您好!中科汇能与您分享信息安全快讯:01美柚、宝宝树等App平台推送涉黄短信?官方回应:数据库安全,启动自查近日,多位用户在社交媒体发文称,准爸爸注册母婴APP美柚后,会频繁接...
9