2025年2月21日
【$200】一个速率限制不当的漏洞故事
前言 在对目标网站*.target.com进行‘侦察’时,无意中发现了一个托管目标登录页面的IP( 198.xxx )。 有趣的是,SSL证书属于xy.target.com ,这表明可能存在错误的配置...
骨哥
2025年2月18日
通过 HTML 注入实现三星账户接管(ATO)的故事
前言 前不久,白帽小哥在三星公司的一次渗透测试中发现了一处 HTML 注入漏洞,因此获得了不菲的赏金奖励。现将这一过程中的有关细节分享给各位。 漏洞发现 在对三星网站进行渗透测试时,首先使用了不同的 ...
2025年2月18日
【墙裂推荐】一款无需部署就能让你与本地AI自由对话的超赞插件
🚀 前言 本地化部署完DeepSeek/Qwen大模型,不满意命令行式的提问方式,还得费劲折腾安装各种WebUI?现如今不需要了! 今天给各位推荐一款超级好用的浏览器插件,Chrome/Edge浏览器...
2025年2月17日
【CVE-2024-42327】Zabbix RCE PoC 公布
CVE-2024-42327 Zabbix 前端上的非管理员用户账户,无论是默认的 User 角色,还是具有 API 访问权限的任何其他角色,都可以利用这个漏洞。 在 CUser 类的 addRela...
2025年2月14日
【$2500】通过无人认领的Node包实施RCE攻击
前言 依赖项混乱是一种软件供应链漏洞,当公司的内部软件包从公共存储库(例如NPM)而非私有注册中心时,就会发生这种漏洞。 如果软件包管理器(例如NPM,PIP或其它)默认为从公共源中拉出和具有相同名称...
2025年2月13日
一个价值$100的漏洞发现
像大多数白帽子一样,同样先从子域枚举开始,很快便找到了api.example.com。 这样域名的子域相信很多白帽子都不会轻易放过,而且肯定被很多白帽子测试了无数次,那么我们还有机会挖掘到漏洞吗? 首...
2025年2月13日
【CVE-2025-23359】研究人员发现绕过NVIDIA容器工具包修补后的新漏洞利用
网络安全研究人员已经发现了NVIDIA容器工具包中可绕过安全性漏洞的方法,可以利用该漏洞逃脱容器隔离保护并获得对宿主机的完全访问。 新漏洞编号CVE-2025-23359 (CVSS得分:8.3)。它...
2025年2月10日
DeepSeek:从入门到精通(PDF 104页)
DeepSeek:从入门到精通(共104页)(来自清华大学元宇宙文化实验室) 清华大学近期发布了“DeepSeek从入门到精通(2025)”,围绕Deepseek是什么?Deepseek能够做什么?如...
2025年2月8日
【防忽悠】DeepSeek很简单,没你想象的那么复杂!
认准唯一官网 Deepseek唯一官方网址:https://www.deepseek.com 手机使用 手机上使用DeepSeek的两种方式 公众号 关注DeepSeek公众号,左下角选择“网页对话”...
2025年2月6日
【$15,000】如何在Azure DevOps中找到3处SSRF
Binary Security(以下简称他们) 向微软报告了Azure DevOps中发现的三处SSRF漏洞。本文概述了他们寻找这些漏洞的方式,并演示了使用DNS重新绑定和CRLF注入的利用技术。 背...