不安全

Spamhaus是一个国际非营利项目，通过维护多个黑名单（如SBL、XBL）帮助过滤垃圾邮件和网络威胁。它被广泛用于保护邮件系统免受滥用，并影响邮件送达率。企业需注意保持良好的发送习惯、身份验证和列表管理以避免被列入黑名单。

这篇文章分享了作者作为漏洞赏金猎人和网络安全爱好者的经验，探讨如何通过系统性方法发现和利用常见漏洞类别来获得收益，并通过实际案例展示了如何将小问题转化为重大成果。文章适合零基础读者，并提供了持续学习的资源。

OAuth是一种允许第三方应用在不共享密码的情况下代表用户访问资源的框架。其核心组件包括授权服务器、客户端应用、授权码和访问令牌。通过令牌交换机制实现用户身份验证和资源访问控制。然而，配置错误或攻击（如CSRF和开放重定向）可能导致敏感信息泄露或账户接管（ATO），严重威胁用户安全。

当前环境出现异常，需完成验证后才能继续访问。

作者于2024年4月发现印度国家考试机构NTA的一个子域名使用Laravel框架，并通过目录遍历访问到.env文件，获取了数据库敏感信息。随后向CERT-In报告该漏洞并获确认。

作者通过回顾之前的安全测试报告，在某个子域名中发现了一个关键漏洞，并详细记录了这一过程。

作者通过回顾之前的渗透测试报告，在整理旧数据时发现了一个被遗忘的关键漏洞，并成功利用该漏洞进行攻击。

Active Directory中的Tombstone lifetime（TSL）决定了删除对象的保留时间，默认值为60天，Windows 2003 SP2后改为180天。此设置影响备份有效性、数据恢复及域控制器复制。建议将旧环境更新为180天以增强数据恢复能力。

当前环境出现异常提示，需完成验证后才能继续访问。

文章介绍了由复旦大学团队开发的AI学术工具WisPaper，旨在帮助研究人员高效检索和阅读外文文献。该工具支持智能搜索、精准翻译及核心总结功能，可快速定位高质量文献并提取关键内容，提升科研效率。

文章探讨了子域名在网络安全中的重要性及其潜在价值。黑客通过发现和利用被遗忘或未受保护的子域名进行攻击或漏洞挖掘。企业往往忽视这些隐藏的网络资源，导致安全风险增加。文章还介绍了如何通过漏洞赏金计划负责任地报告和利用这些子域名来赚取收益，并提供了相关工具和案例分析。

文章探讨了供应链攻击的威胁与策略，指出攻击者通过破坏企业依赖的第三方软件或服务来绕过传统安全措施。常见攻击手段包括恶意软件包、篡改开发者工具及利用更新机制。文章还分析了多个APT组织的供应链攻击案例，并强调了检测与防范的重要性。

本文探讨了CTF（捕获旗帜）比赛如何激发安全学习者的兴趣和技能培养，并提供了一份从侦察到获取权限的详细指南。

本文提供一份2025年Ready的Active Directory战术指南，涵盖网络扫描、枚举、域发现、密码喷射攻击等技术，并结合真实实验室案例演示如何利用工具如nmap、CrackMapExec和BloodHound进行渗透测试与防御。

JavaScript文件中隐藏着关键漏洞，如硬编码密钥和未记录API端点。这些常被忽视因代码混淆繁琐。系统方法可高效挖掘。

文章描述了一次渗透测试中的NMAP扫描过程及其结果。通过命令`nmap -sVC -p- -T4 -v `对目标IP进行全端口扫描，并获取了服务版本和默认脚本输出。结果显示开放端口包括22（SSH）、80（HTTP）和37370（FTP），并提供了各服务的详细信息及NSE脚本结果。

文章描述了一位网络安全爱好者通过系统学习和实践成功获得OSCP认证的经历,分享了备考过程中的策略与心得,强调了实践能力培养的重要性。

文章介绍了HIBP新增的演示页面和YouTube频道，提供教学视频以简化API使用和基础操作教程，并展示域名监控功能的广泛应用。

斑胸草雀能够区分并分类同类的所有鸣叫，研究表明它们具有高水平的语义理解能力。这些鸣禽拥有约11种不同的叫声类型，并能在实验中准确识别和分类所有类型的鸣叫信号。

CISA披露两组恶意软件通过利用Ivanti Endpoint Manager Mobile的零日漏洞CVE-2025-4427和CVE-2025-4428传播。攻击者借此在服务器上运行任意代码，窃取信息并维持持久性。建议组织更新软件并加强监控以防范此类攻击。