Synology BeeDrive 漏洞可导致代码执行和任意文件删除
速修复
Aggregator
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
9 months 3 weeks ago
这是npm注册表有史以来第一次下架整个合法项目
SonicWall urges admins to patch critical RCE flaw in SMA 100 devices
9 months 3 weeks ago
SonicWall urges customers to patch SMA 100 series appliances against a critical authenticated arbitrary file upload vulnerability that can let attackers gain remote code execution. [...]
Sergiu Gatlan
Admin Emails & Passwords Exposed via HTTP Method Change
9 months 3 weeks ago
作者发现一个B2B CRM系统的API在改变HTTP方法后泄露了用户数据,包括密码哈希等敏感信息。这揭示了API配置错误的问题。
Exploiting the Overlooked: From Regex Bypasses to Full Source Code Leaks
9 months 3 weeks ago
文章介绍了五个安全漏洞:通过注入任务ID使安全任务消失;上传恶意SVG文件引发系统崩溃;利用大小写绕过访问控制;利用SSRF漏洞扫描内部端口;暴露.git目录导致源代码泄露。这些漏洞展示了小失误可能带来的严重后果。
Dom-Based Xss
9 months 3 weeks ago
Uber因使用存在漏洞的prettyPhoto插件导致DOM-based XSS漏洞,该插件未正确处理URL哈希片段,使攻击者可通过恶意链接在多浏览器上触发攻击。
Dom-Based Xss
9 months 3 weeks ago
Uber在2016年因使用prettyPhoto插件出现DOM型XSS漏洞,该插件未正确处理URL片段导致跨浏览器攻击风险。
Active Directory Cheat Sheet 2025 — Red Team to Blue Team Mastery
9 months 3 weeks ago
本文介绍了Active Directory(AD)作为企业网络核心的重要性,并提供了一系列 offensive, defensive, 和 investigative 命令的实用指南。通过结合实际实验室和 CTF 练习(如 TryHackMe 和 HackTheBox),文章展示了如何利用工具如 nmap、CrackMapExec、BloodHound 等进行 AD 枚举、漏洞利用和防御配置。
Stealth backdoor found in WordPress mu-Plugins folder
9 months 3 weeks ago
A new stealth backdoor has been discovered in the WordPress mu-plugins folder, granting attackers persistent access and control over compromised sites. Sucuri researchers found a stealthy backdoor hidden in WordPress’s “mu-plugins” folder. These plugins auto-run and allow attackers to stay hidden in admin, and maintain persistence. “must-use plugins” are special WordPress plugins that cannot be […]
Pierluigi Paganini
Stealth backdoor found in WordPress mu-Plugins folder
9 months 3 weeks ago
Sucuri研究人员发现WordPress mu-plugins文件夹中存在一种新型隐蔽后门,利用ROT13技术隐藏代码,允许攻击者获取管理员权限并窃取数据。
Flipper Zero Episode 5: Evil Portals & the Dangers of Free Wi-Fi
9 months 3 weeks ago
文章介绍如何利用Flipper Zero和ESP32 Marauder创建恶意portal,通过模拟合法Wi-Fi网络诱骗用户输入登录信息,从而捕获其凭证进行攻击。
Prompt Injection Attacks: Hacking AI Through Conversation
9 months 3 weeks ago
文章探讨了通过精心设计的提示词操控AI系统的提示注入攻击,分析了其工作原理、案例及防御方法。
Living Memory Attacks: Code Injection Without Files
9 months 3 weeks ago
文章探讨了无文件攻击的技术与防御策略。通过进程空洞化等方法,在内存中执行恶意代码而不留下痕迹。建议增强日志记录和使用Sysmon等工具以提高检测能力。
“Mastering SQL Injection: Real-World Exploits and Advanced Techniques”
9 months 3 weeks ago
文章探讨了SQL注入攻击的危害及其常见原因,如编码不规范和防御配置不当。作者分享了实际利用技巧和经验,并指出常见入口包括登录页面、搜索栏、URL参数等。
“Mastering SQL Injection: Real-World Exploits and Advanced Techniques”
9 months 3 weeks ago
这篇文章介绍了SQL注入(SQLi)作为一种严重的网络安全漏洞,其危害包括操控数据库、窃取敏感信息甚至控制服务器。作者Aman Sharma作为渗透测试专家,分享了SQLi的实际利用技巧、绕过防御的方法以及常见攻击入口点(如登录页面、搜索栏、URL参数等)。
2. Setting Up the Ultimate Hacker’s Lab (Free Tools Only)
9 months 3 weeks ago
Abhijeet Kumawat分享如何从零开始进入漏洞赏金领域的经验,强调正确的心态和设置的重要性,并计划通过25多篇深度文章帮助读者在道德黑客领域取得成功。
Referer-Based Access Control: Exploit Referer Headers to Bypass Access Control
9 months 3 weeks ago
文章介绍了一种基于Referer头的访问控制漏洞,攻击者可利用该漏洞绕过访问控制并提升权限。通过修改Referer头信息,攻击者可获取管理员功能访问权限。此漏洞在PortSwigger Web安全学院实验中被演示。
Systemd теперь умеет сбрасывать систему к заводским настройкам — нативно
9 months 3 weeks ago
260+ изменений, новые утилиты и конец поддержки cgroup v1.
How Solid Protocol Restores Digital Agency
9 months 3 weeks ago
当前数字身份管理混乱,个人数据分散且缺乏统一控制,导致隐私泄露和信息不一致问题严重。现有法律侧重于保护数据隐私,但忽视了数据完整性,错误信息频发造成严重后果。Solid协议通过让用户掌控个人数据,实现身份自主管理和安全共享,为解决这些问题提供了新思路。
L’identità al centro della cyber resilienza: come adottare un approccio Identity-First
9 months 3 weeks ago
网站使用技术性、功能性、分析性和广告类Cookie来优化用户体验、分析访问行为并提供个性化服务。用户可通过Cookie Center管理偏好并选择接受或拒绝各类Cookie。