unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
Hack the Box Starting Point: Preignition
文章描述了使用Gobuster进行网络目录暴力破解的过程,包括使用Nmap进行版本检测、指定端口扫描、利用字典文件扫描PHP文件,并最终发现并访问admin.php页面。...
2025-10-14 13:9:4 | 阅读: 77 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
gobuster
nmap
php
sizehere
fire
How Prosper Landed His First Cybersecurity Job (and What You Can Learn From It)
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读用户提供的文章内容,理解其主要信息。 这篇文章讲述的是Prosper如何进入网络安全领域的故事。他从尼日利亚毕业,通过努力和准备获得了在Digiss的工作机会。文章中提到了他的准备、知识、信心以及持续学习的重要性。他还提到了投资于认证和实验室练习,以及通过社交网络获得机会。 接下来,我需要提取关键点:他的成功因素包括准备、知识、信心、持续学习、投资自己、社交网络和信仰。这些因素帮助他在竞争激烈的领域中脱颖而出。 现在,我需要将这些信息浓缩成100字以内的总结,避免使用“文章内容总结”等开头词。要确保语言简洁明了,涵盖主要因素和结果。 可能的结构是:Prosper通过准备、知识、信心和持续学习进入网络安全领域,并强调投资自己和社交的重要性。 最后,检查字数是否符合要求,并确保所有关键点都被涵盖。 </think> Prosper, a Nigerian cybersecurity graduate, secured his first job through persistence, preparation, and hands-on experience. He emphasized the importance of consistent learning, practical skills, and networking. His journey highlights the value of investing in certifications, building real-world knowledge, and maintaining a disciplined mindset to break into cybersecurity....
2025-10-14 13:8:53 | 阅读: 86 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
prosper
consistent
security
lessons
Beyond the Shell: Advanced Enumeration and Privilege Escalation for OSCP (Part 3)
文章讨论了OSCP考试中Windows权限提升的关键技巧,包括如何快速从低级shell获取root权限、PHP壳的区别以及解决Kerberos时钟偏移问题的命令。...
2025-10-14 13:8:31 | 阅读: 83 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
windows
oscp
decide
php
privesc
CVE Deep Dive : CVE-2025–32463
Sudo漏洞CVE-2025-32463允许本地用户通过伪造chroot环境加载恶意库提升权限至root,无需sudo权限,默认影响Linux/Unix系统。修复已发布紧急补丁v1.9.17p1。...
2025-10-14 13:6:51 | 阅读: 74 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
chroot
privileges
library
malicious
nss
“The Overlooked P4 Goldmine: Turning Simple Flaws into Consistent Bounties"
文章指出简单易被忽视的漏洞有时能带来稳定赏金收入,并以P4类漏洞为例说明其价值。...
2025-10-13 07:44:59 | 阅读: 136 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
hunters
studying
scrolling
linkpress
CVE Deep Dive : CVE-2025–32462
Sudo存在一个12年的漏洞(CVE-2025–32462),允许用户通过-h选项绕过sudoers文件中的主机限制,以root身份在未经授权的系统上执行命令。尽管CVSS评分为低风险(2.8),但在企业环境中具有高风险,尤其是使用集中式sudoers配置的环境。建议立即升级到补丁版本(v1.9.17p1或更高)以修复此问题,并检测和防止潜在攻击。...
2025-10-13 07:44:46 | 阅读: 142 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
sudoers
centralized
17p1
security
web01
Master Web Fuzzing: A Cheat‑Sheet to Finding Hidden Paths
本文介绍Web fuzzing技术及其在安全测试中的应用。通过发送随机输入检测漏洞如XSS和SQL注入。推荐使用FFUF、Gobuster等工具,并利用SecLists等词典进行目录扫描。适合新手入门。...
2025-10-13 07:43:50 | 阅读: 147 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
ffuf
injection
dirbuster
odd
Master Web Fuzzing: A Cheat‑Sheet to Finding Hidden Paths
文章介绍了Web模糊测试(Web fuzzing)的基本概念及其在漏洞挖掘中的应用。通过使用工具如FFUF、Gobuster和DirBuster等进行目录和文件发现,并结合字典列表提升效率。文章还分享了如何利用模糊测试技术发现常见漏洞如XSS、注入等,并提供了一些实用技巧和建议。...
2025-10-13 07:43:50 | 阅读: 144 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
ffuf
injection
dirbuster
duplicates
Hash Me If You Can — How I Beat a 2-Second Hashing Challenge on RingZer0Team
文章描述了一次技术挑战:参与者需在2秒内对随机生成的消息进行SHA512哈希计算并返回结果。由于手动操作不可行,参与者编写了一个Python脚本自动化处理过程。尽管遇到DNS解析、HTML解析等问题,最终通过优化脚本成功完成任务并获得flag。...
2025-10-13 07:38:20 | 阅读: 136 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
fallback
network
10013
errstr
digest
How to Use AI to Learn Bug Hunting & Cybersecurity Like a Pro (in 2025)
Vipul在The Hacker’s Log中探讨了AI对网络安全和漏洞挖掘的影响,介绍了AI工具包和侦察指南,并强调了AI在加速学习、自动化任务和提供即时反馈方面的优势。...
2025-10-13 07:29:28 | 阅读: 135 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
download
playbook
linkhey
automating
How to Use AI to Learn Bug Hunting & Cybersecurity Like a Pro (in 2025)
Vipul在《The Hacker’s Log》中探讨了AI如何革新网络安全与漏洞挖掘学习方式,强调其加速学习、自动化任务及提升效率的作用。...
2025-10-13 07:29:28 | 阅读: 145 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
download
watching
The Access Control Apocalypse: How Broken Permissions Gave Me Keys to Every Digital Door
用户在免费试用SaaS平台时意外发现admin权限,获得系统控制权。...
2025-10-13 07:28:8 | 阅读: 145 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
became
developers
discovering
landlord
The Access Control Apocalypse: How Broken Permissions Gave Me Keys to Every Digital Door
嗯,用户让我总结一篇文章,控制在一百个字以内,而且不需要特定的开头。首先,我得仔细阅读文章内容,抓住主要信息。文章讲的是一个用户在免费试用SaaS平台时意外获得了管理员权限,利用了访问控制漏洞,最终掌握了整个系统的控制权。 接下来,我需要将这些信息浓缩成简短的句子。要确保涵盖关键点:意外获得权限、利用漏洞、系统控制。同时,语言要简洁明了,不超过一百字。 可能的结构是先说明事件的起因,然后描述过程和结果。比如,“用户在免费试用SaaS平台时意外获得管理员权限,利用访问控制漏洞掌握系统控制权。”这样既涵盖了主要情节,又符合字数要求。 最后,检查是否有遗漏的重要信息,并确保语句通顺。这样就能满足用户的需求了。 </think> 用户在免费试用SaaS平台时意外获得管理员权限,利用访问控制漏洞掌握系统控制权。...
2025-10-13 07:28:8 | 阅读: 135 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
aifrom
discovering
security
oops
ordered
Authentication bypass via sequential user IDs in Microsoft SSO integration | Critical Vulnerability
单点登录(SSO)常被误认为安全无虞,但其后端逻辑可能存在严重漏洞。作者在测试中发现某系统依赖客户端提供的可预测`user_id`来确定活跃账户,导致身份验证机制失效。此问题反复出现提醒开发者、测试人员和产品经理需重新审视SSO的安全性并确保其在服务器端得到充分验证。...
2025-10-13 07:26:4 | 阅读: 133 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
sso
microsoft
tester
suddenly
insist
Authentication bypass via sequential user IDs in Microsoft SSO integration | Critical Vulnerability
文章指出单点登录(SSO)常被忽视且存在严重漏洞。尽管表面看似安全,但后端可能依赖不可靠的客户端数据,导致用户身份被篡改。作者强调开发者需重新审视假设,测试人员应深入挖掘,产品经理需确保SSO在服务器端验证,而非仅依赖UI展示。...
2025-10-13 07:26:4 | 阅读: 134 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
sso
microsoft
tester
prove
security
Account Take Over | P1 — Critical
嗯,用户发来一个请求,让我帮忙总结一篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我需要仔细阅读用户提供的文章内容,理解其主要信息。 文章讲的是作者收到一个私人漏洞赏金计划的邀请,测试了一个网站的“Forgot Password”功能。发现了严重的漏洞:攻击者可以利用该功能接管他人账户。漏洞的解释包括攻击者和受害者两个账户,通过重置密码请求和截获请求来实现账户接管。 接下来,我需要将这些关键点浓缩到100字以内。要确保包含主要事件:收到邀请、测试功能、发现漏洞、漏洞的影响以及利用工具如Burp Suite。 然后,检查是否有冗余的信息可以省略,比如具体的步骤细节。确保语言简洁明了,直接描述事件和结果。 最后,整合这些信息,形成一个流畅的总结句。确保不超过字数限制,并且准确传达文章的核心内容。 </think> 作者收到私人漏洞赏金邀请后测试网站“Forgot Password”功能,发现严重漏洞:攻击者可利用该功能接管他人账户。漏洞允许攻击者通过重置密码请求和截获请求锁定 victim 账户并获取控制权。...
2025-10-13 07:24:47 | 阅读: 129 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
attacker
victim
forgot
initiates
invite
Account Take Over | P1 — Critical
作者发现了一个隐藏在“忘记密码”功能中的安全漏洞,可导致攻击者通过重置密码接管他人账户。利用该漏洞时,攻击者先用自己的邮箱发起重置请求,随后通过工具拦截请求并修改参数以获取受害者账户的控制权。...
2025-10-13 07:24:47 | 阅读: 145 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
attacker
victim
forgot
dug
exploited
AI-Powered Social Engineering: The New Cybercrime Playbook | Cyber Codex
人工智能通过文本生成、语音克隆和深度伪造等技术改变了社会工程学攻击方式,使其更自动化、规模化和可信度高。2024年数据显示,37%的身份欺诈使用语音克隆,AI钓鱼攻击增长49%,成功率提升24%。防御需结合多因素认证、员工培训和AI检测工具以应对威胁。...
2025-10-13 07:19:50 | 阅读: 147 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
deepfake
phishing
firm
finance
voic
The weirdest bug:When Reflected XSS Won’t Let a Page Breathe
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户的要求很明确,不需要特定的开头,直接写描述即可。 首先,我得仔细阅读文章内容。这篇文章讲述了一位安全测试人员在渗透测试中发现了一个反射型XSS漏洞。他使用低权限账户,通过注入XSS payload成功触发漏洞。尽管遇到了HttpOnly标志的阻碍,但最终通过调整payload成功利用漏洞,并获得了奖励。 接下来,我需要提取关键信息:反射型XSS、低权限账户、注入payload、HttpOnly处理、漏洞利用和奖励。这些是主要内容点。 然后,我要将这些信息浓缩到100字以内,确保语言简洁明了。避免使用复杂的术语,让用户容易理解。 最后,检查是否有遗漏的重要信息,并确保总结准确反映了文章的核心内容。 </think> 作者在渗透测试中发现EXAMPLE.COM网站存在反射型XSS漏洞。通过低权限账户注入XSSayload成功触发漏洞,并尝试绕过HttpOnly限制以进一步利用漏洞获取管理员权限。最终该漏洞被认定为高危并获得赏金奖励。...
2025-10-13 07:12:27 | 阅读: 177 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
payload
stuck
attacker
poking
The weirdest bug:When Reflected XSS Won’t Let a Page Breathe
一位渗透测试人员在EXAMPLE.COM网站上发现了一个反射型XSS漏洞,并通过注入XSSayload成功触发该漏洞。尽管目标网站设置了HttpOnly标志以防止直接读取cookie,但攻击者仍设法绕过了这一限制,并最终导致页面陷入无限重载循环状态。该漏洞被该公司认定为关键级别,并为报告者提供了赏金奖励。...
2025-10-13 07:12:27 | 阅读: 131 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
payload
poking
stuck
attacker
hesitation
Previous
3
4
5
6
7
8
9
10
Next