求知若饥,虚心若愚。
【15亿美元ETH被盗,朝鲜黑客如何攻破Bybit金库?】–教科书级的社会工程学攻击与区块链安全启示录
一、事件概览:加密货币世界的"9·11时刻" 2025年2月21日,全球第二大加密货币交易所Bybit遭遇史诗级黑客攻击,黑客从其以太坊冷钱包中盗取40.1万枚ETH(价值约15亿...
效率再提升!在Obsidian中使用DeepSeek
前言 利用插件将DeepSeek R1集成于Obsidian,瞬间让Obsidian拥有问答式聊天窗口,助力个人知识库归纳总结与写作提升。废话不多说,看效果! 不仅可以指定Obsidian中某篇文章,...
【$200】一个速率限制不当的漏洞故事
前言 在对目标网站*.target.com进行‘侦察’时,无意中发现了一个托管目标登录页面的IP( 198.xxx )。 有趣的是,SSL证书属于xy.target.com ,这表明可能存在错误的配置...
通过 HTML 注入实现三星账户接管(ATO)的故事
前言 前不久,白帽小哥在三星公司的一次渗透测试中发现了一处 HTML 注入漏洞,因此获得了不菲的赏金奖励。现将这一过程中的有关细节分享给各位。 漏洞发现 在对三星网站进行渗透测试时,首先使用了不同的 ...
【墙裂推荐】一款无需部署就能让你与本地AI自由对话的超赞插件
🚀 前言 本地化部署完DeepSeek/Qwen大模型,不满意命令行式的提问方式,还得费劲折腾安装各种WebUI?现如今不需要了! 今天给各位推荐一款超级好用的浏览器插件,Chrome/Edge浏览器...
【CVE-2024-42327】Zabbix RCE PoC 公布
CVE-2024-42327 Zabbix 前端上的非管理员用户账户,无论是默认的 User 角色,还是具有 API 访问权限的任何其他角色,都可以利用这个漏洞。 在 CUser 类的 addRela...
【$2500】通过无人认领的Node包实施RCE攻击
前言 依赖项混乱是一种软件供应链漏洞,当公司的内部软件包从公共存储库(例如NPM)而非私有注册中心时,就会发生这种漏洞。 如果软件包管理器(例如NPM,PIP或其它)默认为从公共源中拉出和具有相同名称...
一个价值$100的漏洞发现
像大多数白帽子一样,同样先从子域枚举开始,很快便找到了api.example.com。 这样域名的子域相信很多白帽子都不会轻易放过,而且肯定被很多白帽子测试了无数次,那么我们还有机会挖掘到漏洞吗? 首...
【CVE-2025-23359】研究人员发现绕过NVIDIA容器工具包修补后的新漏洞利用
网络安全研究人员已经发现了NVIDIA容器工具包中可绕过安全性漏洞的方法,可以利用该漏洞逃脱容器隔离保护并获得对宿主机的完全访问。 新漏洞编号CVE-2025-23359 (CVSS得分:8.3)。它...