2024年3月20日
继续Citrix传奇:CVE-2023-5914和CVE-2023-6184
背景介绍 2023 年底,Assetnote的安全研究团队发现了Citrix两个漏洞,他们与 Citrix 团队合作披露了该信息。 Citrix StoreFront 是一个为用户聚合和呈现来自本地和...
骨哥
2024年3月19日
一周三步曲:从开放重定向到远程代码执行!
背景介绍 今天来讲一位国外白帽子在VK(也就是Mail.Ru集团) 发现并利用一系列漏洞,最终在一周内成功实现远程代码执行(RCE)的故事。时间大概发生在2021年10月,当时我们的故事主角发现了几个...
2024年3月19日
无需高额订阅费,一站式享用所有流行AI大模型!
背景介绍 随着人工智能技术的飞速发展,AI模型应用被广泛使用在各个领域,然而,不少AI模型都需要不同的订阅费用,每个月20美元的订阅费对于多数人来说还是一笔不小的开销。那么有没有一个平台只需要支付一点...
2024年3月15日
200小时挑战,最终收获$20,300赏金的故事
背景介绍 今天来分享2位国外白帽子在去年7月份,通过200小时(每天花上4-6小时)黑客挑战赛,最终收获$20,300美元赏金的故事。 选择目标 他们选择的目标是一家著名的大公司,因为该公司在赏金网站...
2024年3月13日
效率倍增!让你从“运动员”变“裁判员”的强大VS插件~
背景介绍 近期,骨哥体验了一款 Visual Studio Code(VS Code)的插件,感觉非常实用。尽管骨哥并非专业的程序员,但深刻感受到这款插件的强大。它能够让我们从代码的编写者转变为“监督...
2024年3月8日
免费!一键复刻目标网站的开源神器
背景介绍 只需要一张简单的截图,直接复刻一模一样的网站,把制作网站的门槛降到最低。短短几个月就在Github上斩获43.5k Star的开源神器–Screenshot to Code,轻松...
2024年3月6日
【工具推荐】服务器端原型污染检测插件
概述 原型污染最近已成为网络安全领域的流行漏洞,当攻击者利用 JavaScript 原型继承的性质来修改对象的原型时,就会出现此类漏洞。 如果你还不知道什么是服务器端原型污染漏洞(Server-Sid...
2024年3月5日
黑掉谷歌AI,获得 $50,000 赏金奖励
概要 生成人工智能(GenAI)和大型语言模型(LLM)是过去一年来讨论的热点话题,当 GPT 发布时,OpenAI 打开了在技术生态系统中使用 LLM 的大门, Meta、微软和谷歌等公司纷纷尝试在...
2024年2月28日
2023 年十佳 Web 黑客技术
背景介绍 PortSwigger 每年年初都会评选出上一年度的最佳黑客技术,这次评选PortSwigger在社区收到了共计68件评选作品,最终有15个作品杀入决赛,然后经过两周的分析,最终从这15个作...
2024年2月27日
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...