2023年12月20日
最新Twitter XSS + CSRF 漏洞完整披露
背景介绍 通过点击精心设计的链接或访问某些精心设计的网页,将允许攻击者接管受害者帐户(从而使用受害者帐户进行发帖、点赞、甚至更新个人资料、删除帐户等操作),不知道大家还记得新浪微博2011年曾受到过x...
骨哥
2023年12月18日
我的2023年macOS效率工具推荐
2023即将走向尾声,以下是骨哥在 2023 年使用最多的十款效率工具,希望它们也能为你的工作和生活带来便利,排名不分先后。 1. VSCode & Markmap VSCode 是一款由微软...
2023年12月13日
利用关键 0day XXE 漏洞实现 SSRF 攻击
背景介绍 在安全研究中,发现并利用漏洞往往是一个具有挑战性的过程,需要耐心、毅力和创新思维。在本文中,骨哥将分享安全人员如何在不到 6 小时发现并利用一个关键的 XXE 漏洞,进而实现对第三方软件的全...
2023年12月12日
挖掘开发环境隐藏的秘密:一次 OAuth 凭证从泄露到利用的旅程
背景介绍 今天和大家分享在挖掘开发环境时遇到的有趣案例,希望可以给你带来一些启发。 1. 寻找目标 起初,在收集了一系列目标网站的子域名后,在其中发现了一个名为 "dev.[example....
2023年12月11日
卫星黑客与CTF相关学习资源推荐
背景介绍 在当前科技飞速发展的时代,网络安全爱好者们追求着更加创新和挑战性的学习领域,其中之一便是卫星黑客和CTFs(Capture The Flag)比赛。为了帮助初学者更好地入门这一激动人心的领域...
2023年12月10日
GPTs Prompts泄露合集
GPTs 是一个大型语言模型,包含了一个预置的Prompt,可以帮助其更好地按照要求执行任务。这些提示由 OpenAI 的工程师精心设计,包含了大量有价值的信息,例如如何召唤专家、如何进行搜索增强等。...
2023年12月4日
攻击Google Bard-从实时注入到数据外泄
背景介绍 最近,Google Bard 进行了一些强大的更新,包括扩展功能。扩展功能允许Bard访问YouTube,搜索航班和酒店,还可以访问用户的个人文档和电子邮件。 划重点:Bard 现在可以访问...
2023年11月30日
具有邀请功能的账户劫持思路
思维导图: 先决条件: 1️⃣ 确保目标应用程序支持在应用程序内邀请团队成员。 2️⃣ 验证目标应用程序允许帐户注册而无需电子邮件验证,或者找到电子邮件验证绕过漏洞。 测试方法: 1️⃣ 登录你的帐户...
2023年11月29日
通过反向代理劫持OAuth代码的帐户接管之旅
侦查 白帽小哥选择的目标作用域就在主应用程序: 1377.targetstaging.app 在侦察的第一阶段,白帽小哥利用了各种服务,如Archive、Google和Yahoo来提取端点和路径。 然...
2023年11月28日
Ubuntu18.04 pwndbg libgcc-s1:i386 问题
通过UTM 模拟x86 Ubuntu Server系统时,在顺利安装完Ubuntu18.04后,在安装pwndbg时遭遇各种问题。 首先pwndbg对于Ubuntu系统,可以比较好的支持20.04及以...