2023年8月10日
适合渗透人员的15款浏览器插件推荐
1. Foxyproxy Standard Foxy 代理是浏览器插件,可以帮助你连接任何代理服务器。此插件充当客户端和代理服务器之间的代理。 网址:https://getfoxyproxy.org/...
求知若饥,虚心若愚。
2023年8月10日
有感国内CTF发展,十年再回望的一些感想
引言 CTF 一词相信现在的大家肯定不陌生,但放在十年前,知道的人恐怕还真不多,骨哥在朋友圈中算是接触 CTF 较晚的那个人了。我真正第一次接触 CTF 是在2012年,在2013年还曾有幸和小伙伴们...
2023年8月9日
Google Bard首尝鲜
前言: Bard 是一个由 Google AI 创建的大型语言模型,它是一个机器学习模型,经过训练,可以生成文本、翻译语言、编写不同类型的创意内容,并以信息丰富的方式回答用户提出的问题,Bard 目前...
2023年8月9日
使用本机函数指针绕过最新 Chrome v8 沙箱(issue1378239 EXP)
背景介绍: 2023 年 7 月 21 日,推特用户 @5aelo 发布了关于新的 v8 沙箱讨论文档:https://twitter.com/5aelo/status/168240538389621...
2023年8月9日
“演绎黑客之术:$2000引爆响应操控之力”
题外话:一年一度的国内安全圈的“大狂欢”今天正式拉开帷幕,你参与其中了吗? 背景介绍: 今天的分享来自国外一名ID为 ELgllad 的白帽子,让我们来看看他是如何发现和利用漏洞从而获得赏金的。 由于...
2023年8月9日
一枚价值$5000的Google IDOR漏洞
故事起因: 在从H1和Bugcrowd获得许多撞洞和N/A之后,这位国外白帽子小哥决定开始搜索VDP 程序。 这位白帽子发现了一些Bugs并进行了报告,但一直未得到及时的回复,于是他开始决定在Goog...
2023年7月18日
CVE-2023-36934:MOVEit Transfer SQL注入分析
背景介绍: MOVEit Transfer是一种广泛使用的 Web 应用程序,最近由于一系列 SQL 注入 (SQLi) 漏洞而受到密切关注。这些漏洞影响已发布的 MOVEit Transfer 的各...
2023年6月6日
30000美元赏金事件
背景介绍: 一位国外漏洞赏金猎人正在对一家金融公司进行着渗透测试,天气的炎热使他感到不安和厌倦,半天过去了,他依然一无所获,以下的故事分为两部分。 端口8081的秘密: 这位猎人开始在 Censys ...
2023年3月6日
通过更改LOGO进行命令注入的故事
侦察: 通常,上手‘宽范围’目标的第一件事就是找到公司的 ASN 和 CIDR,通过它们可以访问属于公司的 IP,拥有公司的 IP 对搜索的下一阶段非常有帮助。例如,当我们到达一个使用CDN的网站时,...