2024年3月5日
黑掉谷歌AI,获得 $50,000 赏金奖励
概要 生成人工智能(GenAI)和大型语言模型(LLM)是过去一年来讨论的热点话题,当 GPT 发布时,OpenAI 打开了在技术生态系统中使用 LLM 的大门, Meta、微软和谷歌等公司纷纷尝试在...
bugbounty
2024年2月28日
2023 年十佳 Web 黑客技术
背景介绍 PortSwigger 每年年初都会评选出上一年度的最佳黑客技术,这次评选PortSwigger在社区收到了共计68件评选作品,最终有15个作品杀入决赛,然后经过两周的分析,最终从这15个作...
2024年2月27日
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...
2024年2月23日
在ChatGPT中挖掘XSS漏洞实现任意账户接管
背景介绍 在本篇文章中,国外安全研究人员Ron将介绍他在ChatGPT中发现的两处XSS漏洞以及其它一些漏洞,如果将它们组合在一起的话,甚至可能导致账户被接管。由于ChatGPT 使用了 NextJS...
2024年2月21日
Hello Lucee! 让我们再次黑掉Apple~
简介 去年,国外安全研究人员对 Adobe ColdFusion 中的多个漏洞进行了深入分析,获得了很多启发,其中之一涉及 CFM 和 CFC 处理、解析和执行。于是他们想知道是否还有其他 CFM...
2024年2月20日
开箱即用的Payloads
Payloads 字典: https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/cujanovic/Markdo...
2024年2月18日
任意ChatGPT 帐户接管 – 利用通配符进行网络缓存欺骗
背景介绍 去年,Nagli 在 ChatGPT 中发现了一个网络缓存欺骗漏洞,其影响至关重要,因为它导致用户的身份验证令牌泄露,并可导致任意帐户被接管。 OpenAI 立即向 ChatGPT 用户通报...
2024年1月31日
2024年1月30日
Chrome 最新XSS攻击向量:CVE-2023-5480
前言 本文专门讨论去年年底在 Google Chrome 浏览器中发现的一个漏洞,并讲述了它的起源故事。该漏洞长期存在,并于 2023 年 10 月 31 日得到修复,谷歌对该漏洞的估价为16,000...
2024年1月26日
2023年度精选文章
精选文章根据2023年阅读及分享数量由高至低排序筛选得出,分为漏洞系列、CTF系列和工具系列三个类别。 1.漏洞相关 【$ 20,000】通过发送消息黑掉任意公司-CVE-2021–34506...