2024年4月16日
网络安全信息差-2024年4月15日
乌克兰利用破坏性 ICS 恶意软件“Fuxnet”攻击俄罗斯基础设施 乌克兰黑客组织Blackjack对俄罗斯地下基础设施公司发动的网络攻击,其中使用了一种名为Fuxnet的工业控制系统(ICS)恶意...
求知若饥,虚心若愚。
2024年4月16日
意外发现DoS攻击斩获$25,000赏金的故事
简介 国外研究人员在 ICON 上发现了一处 RCE 漏洞,但漏洞超出了漏洞赏金计划的范围,但是随后的一次偶然机会,他们发现了 DoS 漏洞,该漏洞可被用来阻止区块链处理交易和创建新块,最终他们获得了...
2024年4月15日
记一次XSS绕过的经历
前言 最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS,发现用户的输入在title中展示,那么一般来说就是看能否闭合,我们从下面图中可以看到,输入尖括...
2024年4月14日
五种用来挖掘API端点的方法
简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...
2024年4月14日
网络安全信息差-2024年4月13日
安全工程师因窃取 1200 万美元加密货币被判入狱 3 年 Shakeeb Ahmed, 一名网络安全工程师,被判刑三年,罪名是窃取约1200万美元的加密货币。他被指控攻击了两个加密货币交易所,窃取了...
2024年4月12日
CVE-2024-24576 Rust 命令注入漏洞【PoC已公布】
背景介绍 Rust 编程语言背后的项目声称,对特定 API 的任何调用都是安全的,即使输入的是不安全的内容,但研究人员找到了绕过保护的方法。 一名漏洞研究人员发现,在 Windows 系统上用于执行批...
2024年4月9日
重置密码绕过的N种利用姿势
概述 在挖掘IDOR类漏洞时,经常会遇到站点具有“重置密码”的功能,在重置密码时,我们可以尝试多种绕过方式来检验该功能是否安全。今天分享整理的一系列绕过姿势,你还有哪些奇技淫巧,欢迎在留言区补充~ 基...
2024年4月7日
【CVE-2024-3273】预计超过 92000 台 D-Link NAS 设备存在后门帐户
概述 近日,安全研究人员披露了多个报废 D-Link 网络存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门漏洞。 发现该缺陷的安全研究人员“Netsecfish”称,该问题存在于“/cgi...
2024年4月7日
使用AI大模型打造模糊测试工具
前言 AI大模型(LLMs) 在很多事情上似乎都特别擅长,为了快速解决传统上需要大量人力才能完成的任务,每天都有人提出该技术的一些‘奇特’用例。 今天的案例来自 Brendan Dolan-Gavit...
2024年4月3日
通过重置密码token泄露收获€2500赏金
什么是ATO? ATO全称Account TakeOver,中文一般翻译为“帐户劫持或帐户接管”,ATO一般有多种方式可以实现,比如: 当攻击者使用以往数据泄露中获取到的用户名、密码尝试未经授权访问其...