2023年9月5日
一个简单的越权漏洞成功拿下Admin权限
背景介绍 国外一名白帽子(Bharat Singh)在渗透测试过程中发现一处 IDOR 漏洞,该网站因为未验证请求正文中的用户输入,从而导致可以获得超级管理员的访问权限,让我们开始今天的故事分享。 漏...
求知若饥,虚心若愚。
2023年9月4日
Prompt Injection Primer for Engineers- 提示注入入门指南
背景介绍 随着 AI 大语言模型的火爆,其安全性也受到了安全人员的关注。最近国外一位安全研究人员将目前 AI Prompt 可能存在的安全风险进行了梳理,并贴心的整理成了 PDF,让我们一起来看看文档...
2023年9月2日
研究人员公布VMware Aria【CVE-2023-34039】漏洞利用PoC
背景介绍 Aria Operations for Networks contains an Authentication Bypass vulnerability due to a lack of u...
2023年8月29日
使用工具快速发现 SSRF、LFI、XSS
背景介绍 本文将告诉你如何使用 gf、httpx、waybackurls、qsreplace、gau 工具快速找到 SSRF、XSS 和 LFI 漏洞。废话不多说,开始! XSS 首先将使用 gf、h...
2023年8月23日
【$25,300】绕过 Facebook 双因素身份验证
背景介绍 今天分享国外一位名叫 Bassem M Bazzoun 在 2023 年韩国首尔举行的 Meta Bug 赏金研究人员会议上发现 Facebook 中的双因素身份验证绕过漏洞的故事,最终该白...
2023年8月22日
效率工具ChatDOC体验
背景介绍 ChatDOC是一款基于ChatGPT的文件阅读助手,可以让你和任何文档对话,提问并获得即时回答,ChatDOC可以从PDF或Word文档中提取、定位和汇总信息,还可以理解文档中的表格和文字...
2023年8月20日
每个白帽都不应错过的酷炫‘侦察’技巧!总有一个你不知道~
技巧 1:活动子域枚举 这是一种非常常见的技术,但许多白帽子依赖于被动子域枚举而不是主动子域枚举,来看看活动子域枚举: 使用活动子域枚举可以通过两种方式执行: A.使用字典列表暴力破解子域:在这种技术...
2023年8月19日
Havoc+Harriet,绕过EDR方案
背景说明 虽然Cobalt Strike(以下简称CS)好用,但毕竟人家是商业软件,贪便宜想用破解版又担心被种马,而且现如今很多EDR都会针对CS特征做防护,那不如试试Havoc这个平替。Havoc是...