『代码审计』某OA系统.NET代码审计
0x00 前言由于对ASP.NET项目不是很熟悉,所以一直没有审计过ASP.NET的源码。最近项目不是很多,于是随便找了一套手里面的源码,边审边学。0x01 文件上传漏洞通过查找上传点,发现Edit.
阅读全文一个用于检测HOST 头攻击漏洞的Burp Suite扩展插件
工具功能自动检测Host头攻击漏洞专门针对301跳转响应进行检测自动修改请求中的Host头为attack.com检测响应中的Location头是否反射Host值内置请求限流机制,避免对目标系统造成过大
阅读全文马斯克称其 X 平台遭受大规模网络攻击, IP 源自乌克兰|美一 55 岁程序员被降职后泄愤植入恶意软件,面临最高 10 年监禁
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!马斯克称其 X 平台遭受大规模网络攻击, IP 源自乌克兰3 月 11 日消息,当地时间周一早上,监测网站 Do
阅读全文马斯克推出政务机器人:用AI批量取代公务员
当一些美国公务员兴高采烈用马斯克的GSAi政务机器人提高办公效率时,很多人没有意识到这个机器人的目标是替代他们,而不是仅仅作为打杂的“实习生助手”。据《WIRED》最新报道,马斯克主导的政府效率部(D
阅读全文Java代码审计 | 一次开源商城系统
任意文件上传漏洞:管理员后台文件添加位置:数据包:POST /tmall/admin/uploadCategoryImage HTTP/1.1Host: 172.20.10.3:8080User-Ag
阅读全文一款针对Spring框架的漏洞扫描及漏洞利用图形化工具
工具介绍YYBaby_v1.0 Spring_Scan Tools一款针对Spring框架的漏洞扫描及漏洞利用图形化工具工具展示Tools:Scan:分析:工具获取https://github.com
阅读全文虚拟机逃逸!VMware高危漏洞被利用,国内公网暴露面最大;犯罪分子利用 DeepSeek 的流行度来传播木马化的 AI 客户端
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!虚拟机逃逸!VMware高危漏洞被利用,国内公网暴露面最大;VMware虚拟机逃逸漏洞正被积极利用,据统计全球近
阅读全文迪斯尼泄漏4400万条机密数据,只因员工“尝鲜”AI工具
GoUpSec点评:企业和关键基础设施中悄悄蔓延的消费级AI工具如果缺乏有效监管和控制,注定会引发大规模数据安全灾难。“AI安全”,将取代“网络安全”和“数据安全”,成为2025年CISO的头号威胁。
阅读全文某CRM代码审计之旅-多漏洞绕过与发现
文章作者:奇安信攻防社区( 中铁13层打工人)文章来源:https://forum.butian.net/share/41311►权限绕过该项目使用了shiro进行权限验证查看依赖版本,发现该版本配合
阅读全文Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。
工具介绍本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。效果如图主要功能🛡️ WAF绕过技术后缀变异:ASP/ASPX/PHP/JSP后缀混淆(
阅读全文家中摄像头暗藏隐私泄露风险,网上有人售卖卧室视频;多地苹果手机用户称使用“免密支付”遭盗刷
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!多地苹果手机用户称使用“免密支付”遭盗刷,客服:账户或被盗,及时申请拦截有望找回近日,多名苹果手机用户在网上反映
阅读全文2025年2月热门开源网络安全工具盘点
2月我们精选了一些备受关注的开源网络安全工具,这些工具在加强各种环境的安全性方面表现出色。Kunai:Linux平台的开源威胁狩猎工具Kunai 是一款开源工具,为Linux环境提供深度且精准的事件监
阅读全文记一次某开源OA白名单后缀限制下巧用系统设计getshell
原文链接:https://forum.butian.net/share/4132白名单后缀限制下巧用系统设计getshell0x01 路由情况该 OA 的 action 主要是在 webmain 目
阅读全文当心别人删了你的大模型
摘要近期针对AI基础设施的网络安全扫描发现,全球范围内存在大量未授权暴露在公网的Ollama大模型服务器。这些服务器不仅暴露了模型管理接口,还存在敏感操作未授权访问风险。本文通过实证研究揭示了该问题的
阅读全文【零基础高薪直通车】渗透测试工程师训练营
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!当勒索软件一夜瘫痪企业系统,当数据泄露让巨头损失上亿……你是否想过,自己可以成为那个力挽狂澜的“数字侠客”?无需
阅读全文2025年十大最危险勒索软件组织榜单
虽然2024年勒索赎金大幅回落,但2025年勒索软件卷土重来,前两个月活动显著增加。三大勒索软件组织中,BlackLock在2024年第四季度数据泄露帖子增长1425%,有望成为2025年最活跃的勒索
阅读全文『代码审计』曲折的代码审计
0x00 前言一次CTF比赛中遇到一个PHP代码审计题。赛中审计发现存在反序列化函数并以此为出发点开始寻找入口点,未果。赛后整理思路并搭建环境重新审计。0x01 环境搭建操作系统:macOS后端环境:
阅读全文XSS漏洞与SSRF漏洞的联合攻击及其综合防范机制实验平台
项目简介 📝本项目是一个用于研究XSS漏洞与SSRF漏洞联合攻击及其综合防范机制的实验平台。平台提供了独立的XSS攻击、SSRF攻击测试环境,以及两种漏洞的联合攻击测试环境,同时实现了相应的防护机制。
阅读全文重要!2025HW招募!
2025HW招募 ►关于HW近年来网络安全行业内的大规模攻防演练;全国范围,首推一线; ► 关于时间预计4-9月份,2周-6个月;视项目情况而定; ►关于招募对象蓝方人员:高级工程师、中级工程师、初级
阅读全文AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的
最新报告显示,视频通话中的AI换脸攻击事件数量在2024年激增300%,有多家企业因此损失惨重,甚至包括安全意识培训厂商;实时人脸伪造技术快速普及,犯罪生态迅猛扩张,2024年已发现31个新团伙在出售
阅读全文【完美抢劫】一场基于 MITRE ATT&CK 框架的现代 APT 攻击模拟推演
攻击背景:一场精心设计的数字劫案本文还原了一场基于真实 APT 攻击手法的攻击事件(代号“完美抢劫”)。攻击者通过多阶段协作技术,实现对目标网络的深度渗透。以下流程融合了十大最常用的 ATT&CK 技
阅读全文Spring漏洞综合扫描工具
YYBaby_v1.0 Spring_Scan Tools 简介Spring综合扫描工具GitHub 地址:https://github.com/CllmsyK/YYBaby-Spring_Scan支
阅读全文DeepSeek数据泄露,12000个硬编码的有效API密钥和密码遭曝光;|非法解密快递单号牟利,侵入后台贩卖30万条个人信息;
DeepSeek数据泄露,12000个硬编码的有效API密钥和密码遭曝光;近期的一项分析发现,在公开抓取的网络数据中,存在 11908 个有效的 DeepSeek API 密钥、密码和身份验证令牌。据
阅读全文89%的企业生成式AI使用未被IT部门察觉,暴露数据安全隐患
企业当前要么正在采用生成式AI(GenAI)解决方案,要么正在评估如何将这些工具整合到业务计划中,或者两者兼而有之。为了推动明智的决策和有效的规划,获取硬数据至关重要,然而此类数据却出人意料地稀缺。L
阅读全文内网横向扩大战果,RDP远程桌面密码凭证获取
1►前言介绍在授权渗透过程中,如果获取了一台windows的权限,可以尝试去获取该主机保存的远程桌面连接凭证,从而在内网横向中扩大成果。也就是当我们获取一台windows服务器,可以尝试获取本地远程连
阅读全文CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。
工具介绍CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。核心功能1. 深度安全分析自动识别代码中的安全风险点支持检测 SQL 注入、XSS、C
阅读全文安全提醒!手机这些入口及时关;|能收集微信、QQ数据?间谍软件LightSpy新增100+指令;|
安全提醒!手机这些入口及时关;稍有不慎就可能成为泄密源头。那么,照片中包含哪些信息呢?首先是EXIF信息。EXIF信息是一种嵌入在照片中的元数据,它记录了照片的拍摄时间、分辨率、相机制造商、相机型号
阅读全文冷钱包"金身"告破:朝鲜黑客制造史上最大规模加密货币劫案
一场导致全球加密货币市场暴跌的惊天劫案在上周五浮出水面。迪拜加密交易所Bybit遭遇的15亿美元以太坊资产失窃案,不仅刷新数字资产单次失窃金额纪录,更暴露出多重签名冷钱包这一"行业金标准"的系统性风险
阅读全文域渗透之cyberstrikelab—Thunder
文章首发在:先知社区原文链接:https://xz.aliyun.com/news/16753入口机信息收集连上openvpn自动跳转到ThinkPHP页面漏洞发现利用ThinkPHP综合利用工具梭哈
阅读全文一款burp被动扫描的fastjson漏洞探测插件,已实现漏洞探测、版本、依赖探测、出网及不出网利用和bypass waf功能
工具介绍FastjsonScan4Burp 一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中的存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探
阅读全文