文章列表
同程数科酒店之家(innhome.com.cn)存在严重逻辑缺陷
同程数科酒店之家(innhome.com.cn)存在严重逻辑缺陷
FCIS 2023白帽论坛议题:攻防演练中的漏洞利用分享(大余)
攻防演练中的漏洞利用分享01 攻防演练-攻击流程介绍02 攻防演练-高频漏洞03 攻防演练-漏洞利用技巧01 攻防演练-攻击流程介绍流量卡、虚拟机、代理IP、临时邮箱、临时短信等目标资产信息搜集的程度,决定渗透过程的复杂程度。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证利用
Ivanti Virtual Traffic Manager 中存在严重缺陷,可能允许恶意管理员访问
Ivanti 推出了针对虚拟流量管理器 (vTM) 中一个严重漏洞的安全更新,该漏洞可被利用来绕过身份验证并创建恶意管理用户。该漏洞的编号为 CVE-2024-7593,CVSS 评分为 9.8(满分 10.0)。该公司在一份公告中表示:“Ivanti vTM 22.2R1 或 22.7R2 以外的版本中身份验证算法的错误实施允许未经身份验证的远
Katana:下一代爬行和蜘蛛框架
--------Katana:下一代爬行和蜘蛛框架Github:https://github.com/projectdiscovery/katana# 特征 - 快速且完全可配置的网络抓取 - **标准**和**无头**模式 - 主动**和被动**模式 - JavaScript**解析/抓取 - 可定制的**自动表单填写** - 范围控制** - 预配置字段 / Regex - 可定制的输出** - 预先配
FCIS 2023白帽论坛议题:多视角下的Rsync协议攻击防御(paperpen)
前言01 Rsync介绍02 白帽子视角03 企业防御视角04 安全产品视角0x01 Rsync 介绍1.1 什么是 Rsync1.2 Rsync 指纹特征默认端口为 873protocol="rsync" || banner="@RSYNCD:"0x02 白帽子视角2.1 Rsync 未授权访问2.2 Rsync 目录爆破2.3 getshell 实战案例2.4 批量检测漏洞0x03 企业防御视角3.1 如何正确配
研究人员发现人工智能 Azure 健康机器人服务中的漏洞
网络安全研究人员发现微软 Azure Health Bot Service 中存在两个安全漏洞,如果被利用,恶意行为者可以在客户环境中实现横向移动并访问敏感的患者数据。Tenable 在与 The Hacker News 分享的新报告中表示,这些严重问题目前已被微软修补,可能允许访问服务内的跨租户资源。Azure AI Health Bot Service
Dalfox:功能强大的开源XSS扫描器和实用程序🌙🦊
DalFox 是一款功能强大的开源工具,专注于自动化,非常适合快速扫描 XSS 漏洞和分析参数。其先进的测试引擎和特殊功能旨在简化检测和验证漏洞的过程。至于名字,Dal(달)在韩语中是“月亮”的意思,而“Fox”代表“Finder Of XSS”或🦊Github:https://github.com/hahwul/dalfox## 主要特色模式: `ur
FCIS 2023白帽论坛议题:从实战看红队进攻技巧(陈殷)
01 更为细致的信息收集02 进攻前的一些基础设施建设03 在实战中快速突破边界技巧Penetration testing / Red teaming所有的运气是建立在大量已捕获的信息之上的针对大范围的项目的资产发现项目地址:https://github.com/SiJiDo/Ceyes优化BurpSuite以发现更多攻击面项目地址:https://github.com/novysod
您的 SaaS 应用程序中隐藏的安全漏洞:您是否做了尽职调查?
对于旨在提高生产力和简化运营的组织来说,SaaS 应用程序已成为不可或缺的工具。然而,这些应用程序提供的便利性和效率伴随着固有的安全风险,通常会留下可被利用的隐藏漏洞。对 SaaS 应用程序进行彻底的尽职调查对于识别和减轻这些风险至关重要,从而确保保护组织的敏感数据。了解尽职调查的重要性尽
攻击者利用公共 .env 文件入侵云账户进行勒索
一场大规模勒索活动利用包含与云和社交媒体应用程序相关的凭据的可公开访问的环境变量文件 (.env),危害了各个组织。Palo Alto Networks Unit 42在周四的一份报告中指出: “这次攻击活动中存在多处安全失误,包括:暴露环境变量、使用长期凭证以及缺乏最小特权架构。”此次活动最引人注目的是,它在受
