不安全

这篇文章介绍了HTTP协议的发展历程及其改进点。从最初的HTTP/0.9到现代的HTTP/3.0，每一代都有显著变化：支持更多方法、优化连接保持、引入二进制分帧及基于UDP的QUIC协议。内容还涉及内容协商机制及工具如Burp Suite的工作原理。

这篇文章为想要在2025年开始漏洞赏金计划的初学者提供了入门指南,包括学习网络安全基础知识、Web安全原理以及常见漏洞如XSS、SQL注入和CSRF等内容。

文章介绍了如何在2025年开始漏洞赏金计划，针对刚完成培训或认证的初学者。内容包括学习网络安全基础知识（如网络、Web安全）和常见漏洞（如XSS、SQL注入、CSRF），并提供路线图和未来技巧分享。

这篇文章介绍了安全研究员Rivek Raj Tamang（RivuDon）如何在一分钟内发现漏洞，并分享了他的方法。他强调了初始侦察的重要性，特别是通过子域枚举来扩大攻击面。

一位安全研究员分享了自己在不到一分钟内发现漏洞的经验，并介绍了其通过recon技术快速定位目标的方法。

文章描述了一次针对Gatecoin的DOM XSS攻击，攻击者通过操纵URL片段参数`indicatorsFile`，利用`$.getScript()`方法注入并执行恶意脚本。该漏洞导致$500赏金，并揭示了动态加载JavaScript时的安全风险。

Gatecoin的charting_library因动态加载JavaScript存在DOM XSS漏洞，攻击者通过URL片段参数注入脚本代码，绕过安全防护措施并实现账户控制，该漏洞获得500美元奖励。

作者介绍了一个名为Rice Gallery的新平台项目，旨在解决现有Linux个性化设置（rice）资源分散、缺乏筛选功能的问题。他希望通过该平台为用户提供更高效、更专注的资源获取体验，并寻求社区支持完善这一项目。

文章讲述了一次网络安全侦察中发现注销端点隐藏漏洞的经历，最终通过一个遗忘的cookie获得了管理员权限。

研究人员通过网络侦察发现某金融目标的注销端点存在问题，在深入分析后发现一个隐藏的cookie仍保留着管理员权限。

Yii2框架存在远程代码执行漏洞CVE-2024-58136，攻击者可通过未验证的`__class`参数注入任意PHP类实现RCE。文章介绍了利用FOFA、Shodan等工具发现漏洞应用的方法，并展示了通过`phpinfo()`测试及反向壳攻击的步骤。建议升级至Yii2 2.0.52或更高版本，并添加WAF防护以缓解风险。

文章通过办公室展示员工常见密码墓碑的场景，揭示传统密码规则（如大小写、数字和符号组合）已被黑客轻松破解的事实，并指出重复使用同一密码的风险极高。建议采用强密码管理器和双重认证提升账户安全性。

微软SharePoint存在严重安全漏洞（CVE-2025–49706），允许攻击者通过伪造请求部署隐藏网络shell并提升权限。该漏洞影响多个版本的SharePoint Server，并已被用于实际攻击中。建议立即安装补丁以防止全面妥协。

作者通过采用一种被遗忘的侦察技巧，在7天内成功发现了12个漏洞，并分享了详细的侦察步骤和策略，强调了工作流程的重要性。

文章讲述了一位漏洞赏金猎人通过发现一个被遗忘的情报收集技巧，在一周内成功找到12个漏洞的经历。该技巧强调系统化的工作流程而非单纯依赖工具，包括子域名枚举、分析JavaScript文件和主动参数暴力破解等步骤。

文章介绍了一种利用Favicon哈希值进行资产聚类的技术，通过提取favicon的mmh3哈希，在Shodan上搜索相同哈希的IP地址，进而发现可能属于同一组织的资产。这种方法为网络资产发现提供了一种新颖的视觉指纹识别方式。

开发者为解决渗透测试中的重复步骤问题，开发了Pentest Orchestration工具，通过API调用多个安全工具自动化执行recon阶段的任务。

微软针对未完成迁移的企业推出 Exchange Server 2016/2019 扩展安全更新（ESU），提供额外 6 个月安全更新至 2025 年 4 月。

微软发布针对SharePoint的两个零日漏洞（CVE-2025-53770和CVE-2025-53771）的紧急安全更新，修复被用于全球“ToolShell”攻击的漏洞。已影响54个组织，建议立即安装KB5002754和KB5002768更新，并旋转机器密钥以增强防护。

文章描述了作者的一次京都之旅，重点介绍了任天堂博物馆的参观体验和岚山徒步旅行的独特经历。任天堂博物馆展示了任天堂的历史与游戏设备，并提供互动游戏体验；岚山徒步则是一条相对小众的自然与文化路线。文章还分享了京都的交通心得及旅行建议。