How to Easily Find exposed Secret keys and Tokens in Bug Hunting
安全研究员Rivek Raj Tamang分享了如何轻松发现暴露的密钥和令牌的方法,并指出这些敏感信息通常隐藏在源代码和JS文件中。
不安全
How to Easily Find exposed Secret keys and Tokens in Bug Hunting
4 hours 30 minutes ago
文章介绍了安全研究员Rivek Raj Tamang(RivuDon)通过分析源代码和JS文件发现暴露的API密钥、令牌等敏感信息的方法,并强调这些信息可能被攻击者滥用的风险。
Here’s what I learned after solving 5 Path Traversal Labs.
4 hours 30 minutes ago
在一个慵懒的下午,作者本想放松却强迫自己解决Portswigger Web Security Labs中的文件上传问题。尽管初衷并非如此,但多个实验室要求通过路径遍历读取`/etc/passwd`文件。
Write-up: File path traversal, traversal sequences stripped with superfluous URL-decode
4 hours 31 minutes ago
实验室要求获取 `/etc/passwd` 文件内容,但输入中的遍历序列(如 `../../../etc/passwd`)会被移除,并对多余的 URL 编码进行处理。
Data Collection Methods for CTI: How to Collect Data
4 hours 31 minutes ago
文章探讨了网络威胁情报(CTI)中数据收集的重要性,强调分析师需像侦探般从海量数据中提取关键信息。成功CTI策略依赖多样化的数据源和高效工具,帮助构建全面的威胁视图。
VAPT Report on HTTPAPI Services in Windows 10 Healthcare Endpoint
4 hours 31 minutes ago
该报告记录了一次针对Windows 10设备的VAPT模拟攻击,利用Microsoft HTTPAPI漏洞CVE-2004–1561通过5357端口入侵医疗环境中的设备。攻击者通过Nmap扫描和Metasploit工具成功获取系统访问权限,并通过禁用服务和设置防火墙规则进行系统加固。报告强调了医疗环境中旧协议和服务配置错误带来的安全风险,并提出了防火墙配置、服务管理等防护建议。
I Found a Bug in Internal Testing: Stored XSS in KYC Form Address Field
4 hours 31 minutes ago
作者在测试交易平台的KYC表单时发现地址字段存在XSS漏洞:输入HTML或脚本后被系统接受,并在用户资料中触发恶意代码。这凸显了输入验证的重要性——通过白名单过滤合法输入,防止恶意注入攻击。
I Found a Bug in Internal Testing: Stored XSS in KYC Form Address Field
4 hours 31 minutes ago
在测试平台的KYC表单时发现地址字段存在XSS漏洞。通过输入HTML或脚本触发警报,强调输入验证的重要性,并建议采用白名单方法确保数据安全。
darkmailr
4 hours 31 minutes ago
Darkmailr 是一款自托管的离线钓鱼模拟工具,利用开源大语言模型生成现实且有针对性的钓鱼邮件,适用于安全测试和培训。它支持本地网络访问、多种模型选择及自定义提示功能。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
4 hours 31 minutes ago
作者在进行子域名侦察时发现了一个API子域名api.secure-preview.target.com,并利用CORS配置错误和JavaScript脚本获取了生产环境数据。
Head(er) Games: How I Turned CORS Misconfig into a Full Data Dump
4 hours 31 minutes ago
作者通过子域名侦察发现api.secure-preview.target.com端点, 利用CORS配置错误和JavaScript代码获取了生产环境数据, 导致数据泄露。
“Click Once, Chat Never Again” — The Low Severity Bug That Hijacked the AI Chat Forever
4 hours 31 minutes ago
文章描述了一次利用HTML和CSS进行的安全攻击。作者通过简单的代码注入,在AI聊天界面中实现了钓鱼链接、虚假警告和全屏接管等功能。尽管没有使用复杂脚本,但通过巧妙的样式设计,成功控制了聊天界面。文章强调了输入过滤、内容安全策略和限制输入长度等安全措施的重要性,并展示了即使没有脚本执行权限,HTML注入仍能造成严重后果。
API Hacking Fundamentals for Beginners: A Guide to Getting Started
4 hours 31 minutes ago
文章介绍了API的基础知识及其在网络安全中的重要性,探讨了常见的API漏洞和攻击方法,并提供了学习资源和工具建议,强调了伦理安全和实践的重要性。
Inside the Gate: How I Witnessed a Tool Bypass a Metro Entry Without Ticket — And Why It’s a…
4 hours 32 minutes ago
地铁闸门维护接口存在安全漏洞,可能导致未经授权的进入。攻击者可利用工具模拟NFC信号发送开门指令。此漏洞引发收入损失、无法追踪及内部滥用等问题。建议采用加密认证、动态UID及服务器同步等措施修复。作者已报告问题但未获回应。
Zine#38
4 hours 34 minutes ago
六月底离职后,作者计划利用暑假调整身体作息、处理事务并准备面试。近期因久坐少锻炼感到不适,选择医院体检并开始跑步锻炼。回顾过去三次职业空档期的经历,包括在家锻炼、阅读和学习新技能等。同时尝试自己做饭节省开支,并重新使用旧Kindle阅读。
CVE-2025-5777: CitrixBleed 2 Write-Up… Maybe?
5 hours 17 minutes ago
Citrix于6月发布三个安全漏洞(CVE编号: CVE-2025–6888, CVE–...),影响NetScaler ADC和Gateway多个版本。其中两个漏洞引发关注: CVE–... 被认为是内存泄露问题(类似CitrixBleed),而另一个可能导致控制流问题或拒绝服务。研究人员开发了针对前者exploit,并发现可泄露会话令牌和凭据。建议检查日志和审计会话以应对潜在威胁。
Vulnerabilità critica in Citrix riscontrata su host italiani
5 hours 30 minutes ago
CitrixBleed 2(CVE-2025-5777)是Citrix NetScaler ADC和Gateway中的严重漏洞,允许未认证攻击者通过构造特定HTTP请求窃取内存数据,包括认证令牌和敏感信息。该漏洞可能导致MFA绕过、会话劫持及系统入侵。尽管Citrix已于6月初发布补丁,但因部分组织延迟修复且PoC公开传播,风险显著增加。CERT-AGID监测到针对意大利主机的扫描活动,并发现多个公共部门及金融机构可能受影响。建议立即安装补丁并终止所有会话以缓解风险。
NordDragonScan: Quiet Data-Harvester on Windows
5 hours 46 minutes ago
文章描述了NordDragonScan恶意软件通过伪装文件传播,窃取文档、浏览器数据和截图,并将其发送至C2服务器。该软件利用LNK快捷方式和HTA脚本进行攻击,并创建持久化机制以维持长期存在。
Understanding Your Attack Surface: The Key to Effective Exposure Management
5 hours 46 minutes ago
文章探讨了攻击面管理在网络安全中的重要性,并介绍了如何通过整合Tenable的攻击面管理和漏洞扫描工具来提升暴露管理能力。作者分享了实践经验,强调了全面了解攻击面和自动化风险识别的重要性,并展望了未来通过自动化和整合工具进一步优化流程的方向。
Introducing simple and secure egress policies by hostname in Cloudflare’s SASE platform
5 hours 46 minutes ago
Cloudflare推出新功能支持基于主机名、域名、内容类别和应用程序设置出站策略。该功能通过DNS解析与网络流量关联实现,并解决IP地址动态变化问题。未来计划扩展更多应用场景。
Checked
3 hours 46 minutes ago
unSafe.sh - 不安全
不安全 feed