2024年4月15日
记一次XSS绕过的经历
前言 最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS,发现用户的输入在title中展示,那么一般来说就是看能否闭合,我们从下面图中可以看到,输入尖括...
85 搜索结果
搜索关键字 "rce".
2024年4月12日
CVE-2024-24576 Rust 命令注入漏洞【PoC已公布】
背景介绍 Rust 编程语言背后的项目声称,对特定 API 的任何调用都是安全的,即使输入的是不安全的内容,但研究人员找到了绕过保护的方法。 一名漏洞研究人员发现,在 Windows 系统上用于执行批...
2024年3月28日
2024年3月内容汇总
三月即将过去,积极拥抱四月,希望你一切顺利,以下为你带来3月内容汇总,有错过、漏过的信息记得先马后看哈~ 【🪐星球专享】英文论文:利用GPT实现更好的内核Fuzz 【🪐星球专享】 寻找JS文件泄露的几...
2024年3月27日
在一个Web网站中获得$7000赏金奖励
背景介绍 今天来分享国外一位18岁白帽Amir Abbas的故事,让我们来看看他是如何在一个Web网站中最终获得7000美元赏金奖励的吧。 目标选择 话说某一天,白帽小哥经朋友介绍拿到一个 Hacke...
2024年3月23日
在Outlook上寻找远程代码执行漏洞【部分】
背景介绍 2023 年,NetSPI 发现 Microsoft Outlook 容易通过同步表单对象受到经过身份验证的远程代码执行 (RCE) 攻击。本文讲介绍如何他们是如何发现CVE-2024-21...
2024年3月22日
通过子域模糊测试收获$35,000赏金奖励
背景介绍 今天来分享一位全职白帽Abdullah Nawaf的故事, 目前他在BugCrowd中排名前 50,P1 漏洞排名 11,主要挖掘 P1 和 P2 漏洞。本文主要讲述了利用子域Fuzz,将多...
2024年3月20日
继续Citrix传奇:CVE-2023-5914和CVE-2023-6184
背景介绍 2023 年底,Assetnote的安全研究团队发现了Citrix两个漏洞,他们与 Citrix 团队合作披露了该信息。 Citrix StoreFront 是一个为用户聚合和呈现来自本地和...
2024年3月19日
一周三步曲:从开放重定向到远程代码执行!
背景介绍 今天来讲一位国外白帽子在VK(也就是Mail.Ru集团) 发现并利用一系列漏洞,最终在一周内成功实现远程代码执行(RCE)的故事。时间大概发生在2021年10月,当时我们的故事主角发现了几个...
2024年3月5日
黑掉谷歌AI,获得 $50,000 赏金奖励
概要 生成人工智能(GenAI)和大型语言模型(LLM)是过去一年来讨论的热点话题,当 GPT 发布时,OpenAI 打开了在技术生态系统中使用 LLM 的大门, Meta、微软和谷歌等公司纷纷尝试在...
2024年2月27日
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...