2023年9月13日
Web 缓存欺骗:在意想不到的地方发现漏洞
漏洞描述 漏洞针对 https://redacted.com/anynonexisting URL 端点的 Web 缓存欺骗攻击。 通过操控缓存机制,未经授权的用户可以访问敏感的个人身份信息 (PII...
求知若饥,虚心若愚。
2023年9月12日
HTTP Request Smuggling(HTTP 请求走私)攻击及案例说明
背景介绍 首先什么是 HTTP 请求走私?Portswigger 网站其实对 HTTP 请求走私进行过非常详细的说明: https://portswigger.net/web-security/req...
2023年9月8日
为快乐而玩,为自己而玩!
昨晚睡前刷短视频,无意中刷到一个文案,关于“玩”的理解,表示很是认同,于是今天翻找了一下这个文案,发现文案最初好像是来自B站一位名叫“安小舟”的UP主(如有错误,还请指正),以下是将该文案整理的文字版...
2023年9月7日
一次白嫖LinkedIn Premium会员资格的经历
背景介绍 今天的故事分享来自一位名叫 Anudeep Vysyaraju 的国外白帽子。这位白帽子前段时间利用LinkedIn网站的漏洞,成功‘白嫖’了Premium会员资格。 关于Linkedln ...
2023年9月5日
一个简单的越权漏洞成功拿下Admin权限
背景介绍 国外一名白帽子(Bharat Singh)在渗透测试过程中发现一处 IDOR 漏洞,该网站因为未验证请求正文中的用户输入,从而导致可以获得超级管理员的访问权限,让我们开始今天的故事分享。 漏...
2023年9月4日
Prompt Injection Primer for Engineers- 提示注入入门指南
背景介绍 随着 AI 大语言模型的火爆,其安全性也受到了安全人员的关注。最近国外一位安全研究人员将目前 AI Prompt 可能存在的安全风险进行了梳理,并贴心的整理成了 PDF,让我们一起来看看文档...
2023年9月2日
研究人员公布VMware Aria【CVE-2023-34039】漏洞利用PoC
背景介绍 Aria Operations for Networks contains an Authentication Bypass vulnerability due to a lack of u...
2023年8月29日
使用工具快速发现 SSRF、LFI、XSS
背景介绍 本文将告诉你如何使用 gf、httpx、waybackurls、qsreplace、gau 工具快速找到 SSRF、XSS 和 LFI 漏洞。废话不多说,开始! XSS 首先将使用 gf、h...
