2024年2月27日
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...
17 搜索结果
搜索关键字 "csp".
2023年2月21日
通过作用域标签绕过 CSP 的存储 XSS,获得$13,950赏金奖励
背景介绍: H1最近披露了一处GitLab的漏洞,白帽通过作用域标签绕过CSP,从而实现存储型XSS攻击,该漏洞已经在 Gitlab 15.3.2 版本修复。 漏洞详情: 要复现该漏洞,需要以下前提条...
2024年3月15日
200小时挑战,最终收获$20,300赏金的故事
背景介绍 今天来分享2位国外白帽子在去年7月份,通过200小时(每天花上4-6小时)黑客挑战赛,最终收获$20,300美元赏金的故事。 选择目标 他们选择的目标是一家著名的大公司,因为该公司在赏金网站...
2024年3月5日
黑掉谷歌AI,获得 $50,000 赏金奖励
概要 生成人工智能(GenAI)和大型语言模型(LLM)是过去一年来讨论的热点话题,当 GPT 发布时,OpenAI 打开了在技术生态系统中使用 LLM 的大门, Meta、微软和谷歌等公司纷纷尝试在...
2024年2月23日
在ChatGPT中挖掘XSS漏洞实现任意账户接管
背景介绍 在本篇文章中,国外安全研究人员Ron将介绍他在ChatGPT中发现的两处XSS漏洞以及其它一些漏洞,如果将它们组合在一起的话,甚至可能导致账户被接管。由于ChatGPT 使用了 NextJS...
2024年2月21日
Hello Lucee! 让我们再次黑掉Apple~
简介 去年,国外安全研究人员对 Adobe ColdFusion 中的多个漏洞进行了深入分析,获得了很多启发,其中之一涉及 CFM 和 CFC 处理、解析和执行。于是他们想知道是否还有其他 CFM...
2024年2月20日
开箱即用的Payloads
Payloads 字典: https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/cujanovic/Markdo...
2024年2月1日
自动SSRF漏洞扫描与利用工具
前言 有没有一种工具,既可以自动检测SSRF漏洞,同时又可以对其进行利用呢?答案是肯定的,那就是SSRFmap。 SSRFmap介绍 SSRFmap是由@swisskyrepo开发的一款自动SSRF漏...
2024年1月30日
Chrome 最新XSS攻击向量:CVE-2023-5480
前言 本文专门讨论去年年底在 Google Chrome 浏览器中发现的一个漏洞,并讲述了它的起源故事。该漏洞长期存在,并于 2023 年 10 月 31 日得到修复,谷歌对该漏洞的估价为16,000...
2024年1月29日
Node.js安全指南:防范XSS、CSRF和SQL注入攻击
背景介绍 Node.js 是一个强大且流行的构建 Web 应用程序的环境,然而,与任何 Web 技术一样,它同样受到某些安全威胁,如 XSS、CSRF 和 SQL 注入,了解这些漏洞并相应的防御对于 ...