The Cyber Risk-Business Alignment Imperative: Insights from the 2025 State of Cyber Risk Management Report 不安全 2 weeks ago 文章探讨了网络风险管理的重要性,指出成熟策略结合自动化和AI能有效降低风险,并强调数据整合和跨部门沟通对提升组织韧性的作用。
How to Exploit Account Takeover via Password Reset Flaw 不安全 2 weeks ago Elisa公司密码重置系统因使用不安全的ECB模式AES加密出现漏洞,允许黑客通过预测和修改密钥接管用户账户,包括重要员工账户。该漏洞被发现后获得2000美元赏金。
How to Exploit Account Takeover via Password Reset Flaw 不安全 2 weeks ago Elisa公司密码重置系统因使用ECB模式AES加密生成令牌存在漏洞,被bucen发现并获得2000美元赏金。
Exploiting Android Components in Seconds 不安全 2 weeks ago 文章介绍了Android安全测试中时间的重要性,并指出传统方法耗时较长。APK Components Inspector工具可将原本需数天的工作缩短至数秒,极大提升了安全研究人员的效率。
Who Needs Admin When You Have GraphQL? Abusing Queries for Fun and Data 不安全 2 weeks ago 凌晨3点12分,作者熬夜工作,在咖啡因的作用下发现了一个未受保护的GraphQL端点。通过使用subfinder、httpx和katana等工具进行信息收集和枚举,最终找到了这个暴露的API端点。
Who Needs Admin When You Have GraphQL? Abusing Queries for Fun and Data 不安全 2 weeks ago 凌晨3点,作者通过GraphQL端点发现未受保护的接口,利用技术手段成功获取管理员权限。
OTP bypassed by using luck infused logical thinking bug report 不安全 2 weeks ago 作者通过测试一个6位OTP验证系统,发现当OTP字段为空时仍能成功登录。他利用Burp Suite拦截请求并修改payload,最终绕过安全验证。然而,在尝试提交漏洞时得知该问题已被其他研究者报告。
Part 5: How to Become a Pentester in 2025: Certifications, Career Roadmap & Growth 不安全 2 weeks ago 文章介绍了2025年成为渗透测试员的最佳认证路径,推荐从Hack The Box的CPTS开始打牢基础,再逐步挑战Offensive Security的OSCP、OSEP和OSWE等高阶认证。强调实践技能与理论知识结合的重要性,并指出这些认证不仅提升技术能力,还能为职业发展带来显著优势。
Rate Limit? I Barely Know Her: How I Brute-Forced OTPs Like a Gentleman 不安全 2 weeks ago 深夜测试OTP系统时发现漏洞,通过暴力破解获取其他用户OTP并接管账户,最终负责任地报告漏洞并获得赏金。
Rate Limit? I Barely Know Her: How I Brute-Forced OTPs Like a Gentleman 不安全 2 weeks ago 深夜测试无限发送OTP的系统漏洞,利用Python和耐心穷举攻击,几乎成功劫持账户,最终负责任地报告漏洞。
I Built a Bug Bounty Framework in Over 2 Years 不安全 2 weeks ago 作者花了两年时间开发了一个名为“蓝鲸”的漏洞赏金自动化框架,涵盖目标管理、侦察、狩猎和报告功能模块。该框架基于Django构建,支持大规模漏洞扫描和自动化处理。
I Built a Bug Bounty Framework in Over 2 Years 不安全 2 weeks ago 作者花费两年时间开发了一个名为“蓝鲸”的漏洞赏金自动化框架,使用Django架构实现任务自动化和大规模扫描能力。该框架分为目标管理、侦察、狩猎和报告四个应用模块,并支持通过Docker快速部署。
The Art of Discovery: A Comprehensive Guide to Windows Enumeration 不安全 2 weeks ago 文章介绍了Windows系统中常用的枚举命令及其重要性,帮助用户在渗透测试中收集系统信息,如用户、共享文件夹和进程等。
How Hackers Try to Bypass 403 Forbidden Pages (And Guarantee They Find Bugs ) 不安全 2 weeks ago 文章探讨了网络渗透测试中遇到的403 Forbidden错误。这种错误表明服务器已识别请求者身份但拒绝访问资源。与需要登录的401 Unauthorized不同,403是明确拒绝访问。真正的黑客和漏洞赏金猎人会在这种情况下继续深入挖掘,因为这可能意味着接近敏感资源或发现潜在漏洞的机会。
Exposing Brave Browser’s IPC Vulnerability: A $300 Bounty Revelation 不安全 2 weeks ago 2016年12月,安全研究员Masato Kinugawa发现Brave浏览器(版本0.12.11)存在重大漏洞,允许攻击者发送任意Inter-Process Communication (IPC)消息。该漏洞源于JavaScript环境中的用户控制脚本可覆盖内部代码,特别是通过重写Function.prototype.call方法劫持IPC通信。此漏洞可能导致设置被操纵、地址栏被伪造以及Universal Cross-Site Scripting (UXSS)攻击。
$700 Bounty from a 2-Year-Old Secret — Found with iScan.today 不安全 2 weeks ago iScan.today帮助发现GitHub中的敏感信息,作者通过它找到了两年未被发现的有效凭证,导致高风险漏洞并获得赏金。该工具在漏洞赏金中发挥重要作用。
韦伯望远镜可能首次直接获得系外行星影像 不安全 2 weeks ago 韦伯望远镜首次直接捕捉到一颗质量与土星相当的行星围绕年轻恒星TWA7运行。该行星质量约为木星的0.3倍,温度约47℃,距离母恒星50倍日地距离,并位于残屑盘空隙中。
一次性电子烟毒性大于传统香烟 不安全 2 weeks ago 研究发现一次性电子烟释放的有毒金属含量高于传统香烟,尤其是铅含量极高。其主要使用者为青少年和年轻人,而吸入这些金属会显著增加癌症、呼吸道疾病和神经损伤的风险。研究分析了多个品牌的设备,并拆解发现污染源来自烟油、加热元件和合金部件等多处。