求知若饥,虚心若愚。
CISA:两年前的Windows Print Spooler漏洞或成APT新宠
美国网络安全和基础设施安全局 CISA 美国时间周二将一个已有两年历史的 Windows Print Spooler 漏洞添加到已知可利用漏洞 (KEV) 目录中。 该漏洞为 CVE-2022-380...
CVE-2024-0333,针对Chrome扩展的ZIP嵌入攻击
背景介绍 近期,安全研究人员 Malcolm Stagg 讲述了他发现的 CVE-2024-0333漏洞,该漏洞可能会被用来安装Chrome恶意扩展程序。 众所周知,Google Chrome 是世界...
利用Auth0错误配置,获得$1600赏金奖励
背景介绍 今天分享一位来自印度的独立安全研究员 Nauman Khan 的故事,他通过Auth0的错误配置,顺利获得1600美元赏金奖励。 关于Auth0 Auth0 是网站和应用程序广泛使用的身份验...
凭借一手Apple 存储XSS赚取5000美元的故事
背景介绍 今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说,让我们开始吧~ 狩猎过程 易受攻击的 Apple 服务网站是:https://di...
如何将 DOM XSS升级为一键帐户接管(下集)
DOM XSS 一键帐户接管 寻找 DOM XSS 在登录流程的第 8 步, next 参数的值将放置在目标属性中,然后客户端 JavaScript 将使用该属性来重定向网页。 正如上图所看到的,目标...
如何将DOM XSS升级为一键帐户接管(上集)
背景介绍 今天,分享国外 Frog Sec 安全团队研究的一个案例,将看似简单的 DOM XSS 升级为复杂的一键式帐户接管,该攻击允许攻击者从应用程序的电子邮件发送合法的登录链接,当(无论是未经身份...
【漏洞预警】PuTTY爆严重漏洞,允许攻击者进行私钥恢复
德国波鸿鲁尔大学的两名安全研究人员发现,PuTTY客户端和相关组件“在 NIST P-521 (椭圆曲线数字签名算法)的情况下会生成严重偏差的 ECDSA 随机数”,从而实现密钥完全恢复。该漏洞目前被...
踏上全栈征程:15个晚上,从0手撸一个网站
引子 技术的发展速度之快,总是在我们不经意间,悄然改变着我们所熟悉的世界,曾经眼花缭乱的JS、数据库、API,正在因为全栈框架的出现而变得“黯然失色”,真就应了网上那句话“大人,睁开眼看看吧,时代变了...
网络安全信息差-2024年4月15日
乌克兰利用破坏性 ICS 恶意软件“Fuxnet”攻击俄罗斯基础设施 乌克兰黑客组织Blackjack对俄罗斯地下基础设施公司发动的网络攻击,其中使用了一种名为Fuxnet的工业控制系统(ICS)恶意...