2023年8月13日
【$40,000】AAD配置错误导致必应结果篡改与微软帐户接管
背景介绍 今天向各位分享 Wiz Research 发现微软AAD一个常见的错误配置,从而导致多个微软应用程序,甚至包括Bing账户接管的故事。 从Amazon Cognito到Google Fire...
骨哥
2023年8月13日
逆向 Citrix Gateway 发现 XSS 漏洞
背景介绍: Citrix Gateway是一种“一体化”网络设备,它结合了负载均衡器、防火墙、VPN等。国外白帽团队针对VPN组件进行研究,快速搜索得到了大约50,000个Citrix Gateway...
2023年8月13日
如何在两个不同的网站中发现SQL注入
1.背景介绍 今天的故事来自叙利亚的一位白帽子,名叫 Ahmad Yussef ,他是一名兼职的漏洞赏金猎手。 2.侦察 关于收集子域,他习惯使用 Subfinder、Assfinder 这两款工具,...
2023年8月13日
利用非云 SSRF 获得更多乐趣和赏金
背景介绍: 国外白帽 Basavaraj 在闲暇时随机寻找一些目标时,遇到了一个子域,可以在其中看到该公司和营销相关的报告,其中一项功能可以在其中查看 pdf 格式的报告。 单击 PDF 按钮后,发出...
2023年8月12日
Citrix ADC 和 NetScaler Gateway 中的 CVE-2023-3519 分析
背景介绍: CVE-2023-3519 这个漏洞其实影响面非常广且危害巨大,大概两周前我看到这个漏洞时就眼前一亮,然后火速搜了一下这个漏洞是否有PoC/EXP,结果发现Github上有人发过,但当我点...
2023年8月12日
通过链式攻击劫持会话获得$2500奖励
背景介绍: 本文为国外白帽子通过利用XSS以及WAF绕过,配合SSTI从而实现任意用户会话劫持。废话不多说,进入正题! 发现过程: 挖掘过程像往常一样,开启Burp Suite并浏览所有网站链接,没一...
2023年8月12日
Blackhat 2023 Asia 所见所得
前言: 第一次参加Blackhat 2023 Asia会议,不得不说这是一次难忘的经历,毕竟Blackhat对于网络安全从业者来说,就好比教徒们的朝圣地 –“耶路撒冷”,全球的安全专家聚集...
2023年8月12日
MacOS优化与渗透环境部署
自从上周正式入坑MacOS后,经过这几天的快速学习(活到老,学到老)后,现将优化过程及渗透环境部署分享: 一、移除程序坞中不常用的APP 对于程序坞中不常用到的APP,果断右键移除。 二、开启三指拖移...
2023年8月12日
计算机/黑客题材影视推荐
最近朋友圈里被一部网络安全有关的国产网剧刷屏了(也是,毕竟网络安全周了嘛),瞟了一个片段还有几个截图,那段CISP的片段尬的我双脚足够抠出一间三室两厅了。 骨哥自认为是一个比较典型的IT宅男,时不时也...
2023年8月12日
推荐一部纪录片–《代码奔腾》
今天给大家推荐一部2000年拍摄的纪录片《Code Rush》,中文译名《代码奔腾》,这部纪录片确切的说是一部关于Netscape公司的纪录片,我微信公众号的读者里可能有不少都是90后,对Netsca...