不安全

为减少噪音问题,已关闭自我发帖功能,改为每周统一的问题讨论线程,欢迎在此提问,具体工具或目标问题请前往StackExchange或Reddit相关版块咨询。

梆梆安全凭借技术实力和行业影响力入选《2025年中国网络安全市场全景图》6大类8项细分领域，展现了其在数字安全领域的综合能力及市场认可度。

文章记录了一对情侣在马来西亚亚庇和仙本那为期一周的旅行经历。他们从浮潜、红树林游览到萤火虫观赏、海钓等活动体验丰富。行程中还涉及当地美食、交通方式及住宿体验的分享。整体上是一段轻松愉快的旅程。

这是一个网络安全性相关的Reddit社区，主要面向学生群体，允许用户分享资源、提问和互相帮助学习各种网络安全专业技能。

文章揭示了API安全功能被滥用作为攻击手段的问题。作者发现某金融科技API的限流系统存在缺陷,可被利用锁定用户账户24小时。开发者设计的暴力破解防护机制反而成为拒绝服务攻击工具。研究显示68%的安全控制措施因配置错误引入新漏洞。

测试金融科技API时发现其速率限制系统存在致命缺陷：本为防止暴力破解设计的功能被滥用为拒绝服务攻击工具，导致用户账户被锁定24小时。该漏洞使作者获得500美元赏金。

Abhijeet Kumawat分享网络安全经验，作为赏金猎人和教育者，强调子域名的重要性，并因个人原因暂停更新。

文章由网络安全爱好者Abhijeet Kumawat撰写，作为其“Bug Bounty from Scratch”系列的一部分，分享漏洞赏金经验，并鼓励读者从零开始学习。作者因祖父去世暂停更新，并表达了对读者的歉意。

文章探讨了通过道德研究发现浏览器漏洞的重要性，揭示了Chrome的安全机制及其潜在风险。作者通过压力测试合法功能发现了一个可能绕过沙盒保护的漏洞，并强调防御性研究在不越界的情况下识别漏洞的方法。

文章探讨通过压力测试合法浏览器功能发现Chrome漏洞的过程,揭示防御性研究在遵守伦理边界下发现关键缺陷的重要性,并分析浏览器处理敏感数据的关键作用及特性带来的安全风险。

作者在测试电商平台时发现一个逻辑漏洞，攻击者可借此操控定价算法，在闪购系统中造成重大损失。该漏洞源于开发者与用户行为之间的认知差异，并未触发安全警告。此类逻辑问题占电商高危财务漏洞的42%，需重视业务流程中的潜在风险。

作者通过理解业务流程发现电商平台逻辑漏洞,利用价格算法缺陷使系统受损,并获得750美元赏金。研究显示此类漏洞占高影响金融问题的42%。

谷神星是小行星带最大天体，NASA黎明号探测器提供观测数据。研究显示其内部早期有足够热量维持地下水库和热水供应，类似地球深海热泉。最可能的宜居时期为约25亿至40亿年前。现因热能耗尽而不再宜居。

作者通过被动枚举和历史资产收集等方法，在凌晨3点的recon中发现了一个废弃的子域名，并利用其DNS记录获取了重大收获。

作者通过被动枚举、历史资产收集和爬虫工具发现了一个废弃子域名，并成功利用该资产获取重大成果。

Abhijeet Kumawat, a cybersecurity enthusiast and bug bounty hunter, shares insights in his series "Bug Bounty from Scratch," emphasizing HTTP as a key tool in ethical hacking. He explains GET requests and aims to guide newcomers into the field.

文章介绍了HTTP基础知识及其在网络攻击中的应用，通过GET请求示例讲解了HTTP请求的基本结构和参数使用方法。

研究人员发现一个未更新4年的npm包仍被17,000个项目使用，存在严重漏洞可能导致远程代码执行。现代开发中过度依赖开源组件，许多看似维护的包实际已废弃且存有安全隐患。

一位开发者在审计客户网站时发现一个未更新四年的npm包仍在17,000个项目中使用，该包存在严重漏洞可能导致大规模远程代码执行。文章揭示了现代开发生态系统中开源依赖的安全隐患：许多看似“受维护”的包实际上已被废弃且仍存在关键漏洞。

文章描述了通过nmap扫描发现HTTP服务后, 使用Netcat连接并植入反向shell以获取初始访问权限. 随后通过查找邮件和.git仓库获取用户凭证, 并SSH登录. 接着利用Python脚本暴力破解admin密码, 最终获得root权限.