记一次NFT平台的存储型XSS和IDOR漏洞挖掘过程 这是我在 NFT 市场中发现的一个令人兴奋的安全问题，它允许我通过链接 IDOR 和 XSS 来接管任何人的帐户，以实现完整的帐户接管漏洞。我们将用实际流程来覆盖每个漏洞，然后将所有这些问题串联起来X... 2023-7-1 08:26:38 | 阅读: 44 | 收藏 | 黑白之道 受害者 受害 信息 窃取

WordPress 社交登录插件曝出漏洞，用户账户信息遭泄露;WPS官方回应出现服务故障：已陆续恢复 WordPress 社交登录插件曝出漏洞，用户账户信息遭泄露The Hacker News 网站消息，miniOrange 的 WordPress 社交登录和注册插件中出现了一个关键安全漏洞，该漏洞可... 2023-7-1 08:25:33 | 阅读: 26 | 收藏 | 黑白之道 漏洞 安全 攻击者 攻击 2982

一款高危漏洞利用工具 一. 工具介绍泛微:e-cology workrelate_uploadOperation.jsp-RCE (默认写入冰蝎4.0.3aes)e-cology page_uploadOperation.... 2023-6-28 09:58:30 | 阅读: 46 | 收藏 | 黑白之道 cology 3aes yongyou 安全 bshservlet

记一次由验证码绕过到越权访问的实战记录 0x前言本文章主要记录一个我在工作中遇到有意思的逻辑漏洞，可惜最终上传成功了木马但是没有getshell，思路卡住了。本文所涉及的漏洞在文章发布前已做好漏洞修复工作，且是已授权的渗透测试。因为系统涉密... 2023-6-28 09:58:26 | 阅读: 42 | 收藏 | 黑白之道 信息 漏洞 php 模块 数据

2023数据泄漏报告十大发现 2022和2023年的数据泄露报告统计数据表明，网络安全行业在“人的因素”方面还有更多工作要做。攻击者正在大量利用被盗凭据、特权滥用、人为错误、精心策划的社会工程、商业电子邮件欺诈(BEC)。每个网络... 2023-6-28 09:58:22 | 阅读: 14 | 收藏 | 黑白之道 攻击 数据 安全 dbir 网络

微信文件传输助手是真人？官方回应来了！千万别给它改名字；暴雪娱乐遭DDoS攻击，影响《暗黑破坏神》多款游戏 微信文件传输助手是真人？官方回应来了！千万别给它改名字“微信文件传输助手是真人”的话题引起不小关注。有网友在社交平台发文称，微信文件传输助手是真人，这让很多平时会将其当成是备忘录、网盘的朋友非常担忧。... 2023-6-28 09:58:18 | 阅读: 16 | 收藏 | 黑白之道 暴雪 攻击 破坏神 暗黑

常见服务弱口令爆破工具 常见服务弱口令爆破工具：crack功能使用➜ crack ./crack -hService crackerUsage: ./crack [flags]Flags:INPUT: -i, -in... 2023-6-27 10:14:31 | 阅读: 29 | 收藏 | 黑白之道 github 安全 hservice outputdebug memcached

记一次泄露PII的漏洞挖掘经历 什么是PII（Personal Identifiable Information）个人可识别信息这是有关一个人的数据，这些数据能帮助识别这个人，如姓名、指纹、电子邮件地址、电话号码等。我使用提供的凭据... 2023-6-27 10:14:27 | 阅读: 13 | 收藏 | 黑白之道 redact comreferer 1host mozilla

广发证券交易App短暂“宕机” 券商机构信息安全引关注；《超级马里奥》游戏被植入恶意软件，用户信息遭窃取 广发证券交易App短暂“宕机” 券商机构信息安全引关注2023年6月26日，端午假期结束第一个交易日，大A股再度飙上热搜，大量网友纷纷抱团取暖分享亏损情况。与此同时，遭遇股民吐槽的还有广发证券的“广发... 2023-6-27 10:14:23 | 阅读: 23 | 收藏 | 黑白之道 信息 安全 广发 马里奥 里奥

AK泄露检测工具 收集企业内部所有的AccessKeyId作为关键特征，借助 Github API 强大的代码搜索能力，通过定时任务检测关键特征，以发现可能的AK/SK泄露事件。（1）工具运行：（2）邮件告警：（3）S... 2023-6-26 10:10:57 | 阅读: 49 | 收藏 | 黑白之道 ak github syslog 黑白 bypass007

记一次src从信息泄露到任意文件下载 0x01 信息泄露到任意文件读取打开是个登入页，xxx管理系统扫描目录得到http://xxxx/.idea/workspace.xml里面给出了一些js地址，正常没登入都看不到那种一个一个js文件看... 2023-6-26 10:10:52 | 阅读: 32 | 收藏 | 黑白之道 downloadurl download 仅供 xxxxxxx juneha

史上最具网络安全背景的美国总统候选人出炉 拥有丰富网络安全背景的前国会议员威尔·赫德加入共和党总统候选人竞争；相比同类型的候选人，如曾是少年黑客的企业家奥罗克、曾是互联网安全先驱的富豪麦克菲，前网络间谍、持续在网络安全战线推动立法的赫德显然履... 2023-6-26 10:10:48 | 阅读: 15 | 收藏 | 黑白之道 安全 网络 赫德 候选

79元买30张「脸」，谁在甩卖AI换脸工具？ 「核心提示」近日，滥用AI换脸技术的诈骗犯罪层出不穷，连直播间也出现了换脸的假明星。这种情况下，有人却在社交平台上堂而皇之卖起“作案工具”，79元就可以买30个人脸模型。是谁在甩卖AI换脸工具？作者... 2023-6-26 10:10:43 | 阅读: 13 | 收藏 | 黑白之道 账号 开源 模型 特效

神兵利器 - Google C2 Google Calendar RAT 是基于 Google Calendar Events 的 Command&Control (C2) 的 PoC，该工具是为那些难以创建完整的红队基础设施的情况... 2023-6-25 10:12:5 | 阅读: 36 | 收藏 | 黑白之道 谷歌 whoami 脚本 安全 共享

用户名密码加密的页面爆破学习 前言目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法，甚至有些网站在每次请求前都动态请求加密密钥等措施，对接口渗透工作造成较大障碍，本文简单对登录接口暴力破解时字段被加密，如何处... 2023-6-25 10:12:2 | 阅读: 22 | 收藏 | 黑白之道 加密 爆破 cryptojs 浏览器

十大开源侦查工具 侦察（Recon）是渗透测试的第一步，也是至关重要的一个阶段，通过侦查，渗透测试或红队人员可以了解目标并制定有针对性的行动策略。以下，我们将介绍十个值得所有渗透测试人员收入武器库的开源侦察工具。1Al... 2023-6-25 10:11:57 | 阅读: 22 | 收藏 | 黑白之道 子域 github 端口 渗透

女子与陌生人共享屏幕，结果背负近百万贷款债务；黑客论坛 15,000 美元出售美方军事卫星接入 女子与陌生人共享屏幕，结果背负近百万贷款债务；IT之家 6 月 20 日消息，据荔枝新闻报道，近日，常州市公安局经开区分局潞城派出所接到一起特殊的诈骗案件。一名姓周的女子在接到一个自称是京东金融工作人... 2023-6-25 10:11:53 | 阅读: 12 | 收藏 | 黑白之道 黑客 安全 美国 贷款 网络

渗透测试之信息收集 由于传统的信息收集方法如端口扫描、目录扫描等会在服务器上留下大量的日志痕迹，在某些情况下还可能被安全设备拦截，因此能否在不惊动目标服务器的情况下，对目标网站收集尽可能多的信息呢？GoogleHacki... 2023-6-24 08:41:29 | 阅读: 101 | 收藏 | 黑白之道 信息 端口 github 网络

记一次赏金1800美金的绕过速率限制漏洞挖掘 这是我关于绕过速率限制的一篇文章我一直在努力关注速率限制及其安全机制。我已经阅读了很多关于绕过速率限制的文章，并在我的清单中收集了所有方法。在他们的任何端点上，有两个负责防止速率限制攻击。X-Reca... 2023-6-24 08:41:25 | 阅读: 14 | 收藏 | 黑白之道 安全 recaptcha 绕过 机制 攻击

物联网成黑客头号攻击目标 物联网设备的安全性存在设计上的“先天缺陷”且长期使用默认密码，极容易遭到黑客攻击。此外，随着OT网络中分配给高级物联网传感器的角色和身份迅速增加，这些与关键任务系统紧密关联的物联网设备正在成为黑客最青... 2023-6-24 08:41:21 | 阅读: 9 | 收藏 | 黑白之道 攻击 安全 网络 forrester 攻击者