不安全

当前环境异常，需完成验证后方可继续访问。

/r/netsec是一个由社区管理的技术信息安全聚合平台，旨在为安全从业者、学生、研究人员和黑客提供有价值的信息。

r/deepweb是一个Reddit子论坛，旨在辟谣都市传说并分享Tor深网的真实信息。有用户询问是否存在可以讨论任何问题（包括非法内容）的论坛。

当前环境出现异常问题，需完成验证后才能继续访问相关内容或功能。

文章介绍如何利用Docker构建便携、可重复且定制化的黑客实验室，解决工具依赖冲突、系统更新导致损坏及虚拟机启动慢等问题。通过容器化工具实现快速部署和跨机器使用。

文章介绍了Active Directory渗透测试的常用工具及其功能示例,包括Pypy、Kerbrute、BloodHound等,帮助防御者发现潜在漏洞,并提供了最佳实践建议以增强AD安全性。

作者在深夜使用Burp Suite发现了一个CORS配置错误，尽管初步看起来可能严重，但实际影响较低。通过手动添加自定义Origin头并测试API响应，确认了CORS配置允许跨域请求并支持凭证。然而，经过进一步调查发现暴露的数据均为公共信息（如产品数据和博客内容），并无敏感数据或用户特定信息。最终报告中详细说明了问题，并获得团队快速修复和认可。

文章介绍了一种经典的Windows权限提升技术——未加引号的服务路径。攻击者可利用此漏洞通过创建恶意文件，在服务启动时获取SYSTEM权限。检测方法包括使用`sc qc`和`icacls`检查服务路径及写入权限。修复建议包括为服务路径添加引号、限制服务运行权限及审计文件夹权限。

Offensive X 2025在希腊雅典举办，汇聚安全专家、研究人员和爱好者，提供技术演讲、实操培训、CTF比赛和黑客村活动。赞助商参与并支持社区发展，强调多样性和包容性。

本文探讨了`SameSite` cookie属性（包括`Strict`、`Lax`、`None`及未设置的情况）在跨站请求中的行为差异及其对网站安全的影响，并通过实际案例分析了不同设置对用户体验和安全性的作用。

深夜利用Maggi进行渗透测试，通过gau、waybackurls等工具组合发现.git仓库漏洞，成功获取源代码和管理员凭证等敏感信息。

作者深夜进行最后一次recon扫描时意外发现大量敏感数据，包括.git/目录、源代码和admin凭证，并通过多种工具和技术成功提取了这些信息。

sudo存在新漏洞，允许本地用户通过--chroot选项逻辑缺陷提升权限。该漏洞无需内存破坏，利用边界信任即可绕过安全限制。

Google发布Chrome安全更新修复零日漏洞CVE-2025-6554。该漏洞由V8引擎类型混淆引起，允许攻击者通过恶意HTML页面执行任意代码或读写内存。影响版本为138.0.7204.96之前的Windows、macOS和Linux版本。此漏洞可能被用于植入间谍软件或执行恶意代码。

某人在探索应用网站地图时意外发现 Swagger 接口，通过 Wayback Machine 查找历史快照并访问后发现完整的后端逻辑。

作者通过使用工具ShrewdEye发现LG的一个活跃子域名，并从中寻找潜在漏洞，目标是获得LG的感谢信而非漏洞奖金。

从403 Forbidden页面入手，通过HTTP方法欺骗、WAF绕过和伪造IP等手段获得访问权限。随后利用API调用和用户角色切换实现权限提升，并获取敏感API密钥导致系统全面被攻陷。案例强调安全配置的重要性。

GitLab与ZenTao集成存在XSS漏洞,攻击者通过控制API响应注入恶意脚本,影响自托管GitLab实例,源于后端清理不足及缺乏CSP保护。

作者利用Shodan搜索port:8080 Jenkins，发现200多个暴露的Jenkins服务器，多数未受保护。

作者因旧笔记本电脑性能问题决定购买新13英寸Framework笔记本（约2500美元），资金由curl基金和个人众筹提供。若众筹超1000美元可升级配置。捐赠者可获得笔记本贴标机会。主要用于旅行和会议。