Aggregator

文章探讨了网络风险管理的重要性，指出成熟策略结合自动化和AI能有效降低风险，并强调数据整合和跨部门沟通对提升组织韧性的作用。

内存安全漏洞被视作当前最持久也最危险的软件漏洞类型。

速修复

Город принял участие в европейском флешмобе и выкинул Microsoft в мусорку истории.

Elisa公司密码重置系统因使用不安全的ECB模式AES加密出现漏洞，允许黑客通过预测和修改密钥接管用户账户，包括重要员工账户。该漏洞被发现后获得2000美元赏金。

Elisa公司密码重置系统因使用ECB模式AES加密生成令牌存在漏洞，被bucen发现并获得2000美元赏金。

文章介绍了Android安全测试中时间的重要性，并指出传统方法耗时较长。APK Components Inspector工具可将原本需数天的工作缩短至数秒，极大提升了安全研究人员的效率。

凌晨3点12分，作者熬夜工作，在咖啡因的作用下发现了一个未受保护的GraphQL端点。通过使用subfinder、httpx和katana等工具进行信息收集和枚举，最终找到了这个暴露的API端点。

凌晨3点，作者通过GraphQL端点发现未受保护的接口，利用技术手段成功获取管理员权限。

作者通过测试一个6位OTP验证系统，发现当OTP字段为空时仍能成功登录。他利用Burp Suite拦截请求并修改payload，最终绕过安全验证。然而，在尝试提交漏洞时得知该问题已被其他研究者报告。

文章介绍了2025年成为渗透测试员的最佳认证路径，推荐从Hack The Box的CPTS开始打牢基础，再逐步挑战Offensive Security的OSCP、OSEP和OSWE等高阶认证。强调实践技能与理论知识结合的重要性，并指出这些认证不仅提升技术能力，还能为职业发展带来显著优势。

深夜测试OTP系统时发现漏洞，通过暴力破解获取其他用户OTP并接管账户，最终负责任地报告漏洞并获得赏金。

深夜测试无限发送OTP的系统漏洞,利用Python和耐心穷举攻击,几乎成功劫持账户,最终负责任地报告漏洞。

作者花了两年时间开发了一个名为“蓝鲸”的漏洞赏金自动化框架，涵盖目标管理、侦察、狩猎和报告功能模块。该框架基于Django构建，支持大规模漏洞扫描和自动化处理。

作者花费两年时间开发了一个名为“蓝鲸”的漏洞赏金自动化框架，使用Django架构实现任务自动化和大规模扫描能力。该框架分为目标管理、侦察、狩猎和报告四个应用模块，并支持通过Docker快速部署。

文章介绍了Windows系统中常用的枚举命令及其重要性，帮助用户在渗透测试中收集系统信息，如用户、共享文件夹和进程等。

文章探讨了网络渗透测试中遇到的403 Forbidden错误。这种错误表明服务器已识别请求者身份但拒绝访问资源。与需要登录的401 Unauthorized不同，403是明确拒绝访问。真正的黑客和漏洞赏金猎人会在这种情况下继续深入挖掘，因为这可能意味着接近敏感资源或发现潜在漏洞的机会。

2016年12月，安全研究员Masato Kinugawa发现Brave浏览器（版本0.12.11）存在重大漏洞，允许攻击者发送任意Inter-Process Communication (IPC)消息。该漏洞源于JavaScript环境中的用户控制脚本可覆盖内部代码，特别是通过重写Function.prototype.call方法劫持IPC通信。此漏洞可能导致设置被操纵、地址栏被伪造以及Universal Cross-Site Scripting (UXSS)攻击。

iScan.today帮助发现GitHub中的敏感信息，作者通过它找到了两年未被发现的有效凭证，导致高风险漏洞并获得赏金。该工具在漏洞赏金中发挥重要作用。

IBM X-Force researchers have uncovered a series of targeted cyberattacks orchestrated by the China-aligned threat actor Hive0154. Throughout 2025, this group has been deploying the Pubload malware, a potent backdoor, through meticulously crafted phishing lures aimed at the Tibetan community. The timing of these campaigns is particularly notable, coinciding with significant events such as the […]

The post Chinese Hackers Deploy Pubload Malware Using Tibetan Community Lures and Weaponized Filenames appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.