unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
CVE-2022-38627:通过SQLite注入破坏整个企业大楼之旅
在本文中,国外白帽将展示如何找到关键 0day 漏洞,使其可以控制整栋企业大楼(门、摄像头、电梯等……)除此之外,白帽还可以收集员工数据并添加新的访问企业大楼的员工,所有这一切看似电影中的黑客片段,但...
2023-2-7 09:50:35 | 阅读: 48 |
收藏
|
骨哥说事
数据
占位
tpl
数据库
注入
Sqlmap MindMap
2023-2-3 14:6:42 | 阅读: 15 |
收藏
|
骨哥说事
挖掘P1漏洞最受欢迎的8款'猎杀'工具
发现漏洞可能需要几周甚至几个月的时间,因此,拥有一些伟大的工具,对你的工作会有极大的帮助。它们通过定位软件、网络应用程序、网站、硬件和基础设施中的弱点和漏洞来帮助猎手。下面是国外白帽子用来‘猎取’P1...
2023-2-1 15:56:0 | 阅读: 40 |
收藏
|
骨哥说事
漏洞
网络
赏金
脚本
【$ 20,000】通过发送消息黑掉任意公司-CVE-2021–34506
各位新年好啊!希望每个人在新的一年中有更多的收获和进步,同时也希望大家充分利用碎片时间在日常生活中学习新知识!那么,让我们来看看新年第一篇的漏洞挖掘分享吧~2021年 6 月 3 日,白帽@Th3Pr...
2023-1-28 10:55:14 | 阅读: 33 |
收藏
|
骨哥说事
漏洞
攻击
payload
microsoft
浏览器
【CVE-2022-41076】Exchange OWA SSRF + TabShell漏洞利用链分析【含PoC】
故事的起因国外一个安全研究团队发现一个漏洞在野外被利用,于是他们决定公开这两个漏洞利用链的详细分析,当然微软已在数周前发布了相应补丁。这篇文章分享了该团队向MSRC报告的两个漏洞的详细信息:OWASS...
2023-1-12 00:1:42 | 阅读: 371 |
收藏
|
骨哥说事
powershell
cmdlet
漏洞
exchange
owa
致命组合--利用IDOR实现CSRF攻击
渗透目标为 HackerOne 上的一个私人项目,在其中一个域中,白帽子发现了一处跨站请求伪造(Cross Site Request Forgery,简称CSRF)漏洞,当与不安全的直接对象引用(In...
2023-1-11 10:4:23 | 阅读: 12 |
收藏
|
骨哥说事
漏洞
账号
浏览器
mkttoken
【$50,000】发现0day漏洞,渗透Apple
在阅读了对苹果公司3个月的渗透,我们都发现了什么这篇博文后,国外另一个团队也开始对 Apple 进行Web漏洞挖掘,而他们的目标是关注关键发现,例如 PII 级别的暴露或访问 Apple 的服务器/内...
2023-1-10 00:1:42 | 阅读: 53 |
收藏
|
骨哥说事
cfm
lucee
cffile
cfif
datadir
纪录片推荐-《暗网青年毒枭》
某瓣评分7.4,麦克斯·施密特揭示了自己如何以儿时卧室为据点,建立起一个毒品帝国,本故事从《如何在网上卖迷幻药》获得灵感之源。30天的时间,一个人,从建站到整个产业链的部署,这个人执行能力不要太强了!...
2023-1-9 00:5:9 | 阅读: 35 |
收藏
|
骨哥说事
施密特
麦克斯
据点
上百万
$288,500赏金奖励!对苹果公司3个月的渗透,我们都发现了什么【下篇】
利用Apple eSign heapdump 破坏外部员工管理工具在最初的侦察阶段收集子域并发现 苹果公司的互联网暴露面时,他们发现了一堆“esign”服务器:https://esign-app-pr...
2023-1-8 00:1:41 | 阅读: 39 |
收藏
|
骨哥说事
esign
prod
comhttps
heapdump
子域
$288,500赏金奖励!对苹果公司3个月的渗透,我们都发现了什么【中篇】
ePublisher中的命令注入漏洞苹果的一个主要特点是能够上传和销售书籍、电影、电视节目和歌曲,你上传的文件会被传播到各种苹果服务上,比如人们可以下载或购买的iTunes,这似乎是盲注XSS的绝佳载...
2023-1-7 00:2:18 | 阅读: 16 |
收藏
|
骨哥说事
epub
itunes
苹果
transporter
ebook
$288,500赏金奖励!对苹果公司3个月的渗透,我们都发现了什么【上篇】
背景介绍:我在2023年1月4日分享的一张图片:虽然是2020年的一篇文章,但今天看来依然启发颇多,有兴趣的童鞋们可以搜索关键字找到原文。文章内容较长,值得认真阅读,细细品味!原文内容很长,内含相当多...
2023-1-6 00:1:8 | 阅读: 64 |
收藏
|
骨哥说事
漏洞
苹果
渗透
Java Heap Dump分析与利用
原创...
2023-1-5 10:41:54 | 阅读: 13 |
收藏
|
骨哥说事
hprof
oql
信息
虽然是2020年的一篇文章,但今天看来依然启发颇多,有兴趣的童鞋们可以搜索关键字找到原文。文章内容较长,值得认真阅读,细细品味!
2023-1-4 16:49:22 | 阅读: 8 |
收藏
|
骨哥说事
从Youtube演示视频获得启发,通过SQL注入成功拿下$4324漏洞赏金奖励
本文为白帽子Vishal Saini在HackerOne上某个私人项目中的一处发现。由于是私人项目,因此进行了某些打码以防止泄露任何敏感信息。发现过程:首先自然是一些基本的侦察与信息收集,使用一些开源...
2023-1-3 15:28:11 | 阅读: 23 |
收藏
|
骨哥说事
小哥
software
数据
注入
信息
如何在侦查阶段快速发现SSRF
今天的分享来自一位名叫S Rahul 的白帽子,他是一位信息安全分析师。今天我们来看看他怎样在侦查阶段能够快速发现服务器端请求伪造(SSRF)漏洞从而实现内网端口扫描。SSRF:首先我们来简单的回顾一...
2022-12-27 12:26:0 | 阅读: 180 |
收藏
|
骨哥说事
漏洞
攻击
ssrf
信息
waybackurls
给我一个浏览器,还你一个Shell!
只给你一个浏览器,除了上网,你还能做什么?你的目标是VMware Horizon上运行着VDI的Windows服务器,假设你可以利用VDI登录Active Directory帐户,但只能使用浏览器,并...
2022-12-16 11:19:53 | 阅读: 20 |
收藏
|
骨哥说事
浏览器
很酷
取巧
mailto
vdi
Black Hat 2022 USA 议题打包
骨哥说事...
2022-12-15 16:4:36 | 阅读: 19 |
收藏
|
骨哥说事
大小写
收录于
合集
usa
网络安全从业人员必收藏的几个网站!
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。1网安类知识库(1)看...
2022-12-12 17:42:34 | 阅读: 22 |
收藏
|
骨哥说事
安全
wiki
github
文库
编程
Shopify 另一处公开披露漏洞
概述:漏洞发现于7个月前,最近于Hackerone上被公开披露。攻击者可以使用Google登录功能创建后门,如果攻击者通过任何方式窃取受害者的登录密码。攻击者可以连接他/她的谷歌帐户并创建一个后门,如...
2022-12-2 16:2:8 | 阅读: 12 |
收藏
|
骨哥说事
攻击者
攻击
受害者
断开
受害
【$1600】Shopify最近披露的一处存储型XSS漏洞
最新Shopify在HackerOne上对4个月前的一处存储型XSS漏洞进行了公开披露,让我们一起来看看这个漏洞吧。漏洞概要:Dovetale 是 Shopify 的一个影响力管理平台,用于管理和扩展...
2022-12-1 09:42:1 | 阅读: 29 |
收藏
|
骨哥说事
漏洞
数据
shopify
受害
受害者
Previous
5
6
7
8
9
10
11
12
Next