不安全

这是一个开放的黑客社区，旨在帮助新手成长为专家。用户可以提问、解答和学习地下技能，并通过Discord与成员交流。

一位来自印度的27岁求职者在网络安全领域面临挑战。尽管参加了培训课程和实习项目，但实际工作中技能未能提升。目前在非专业公司任职，工作内容与预期不符，感到迷茫和挫败。

一名印度国际学生被约翰霍普金斯大学（JHU）和华威大学录取攻读网络安全相关硕士项目。因F1签证延误可能需先在网上就读JHU首个学期再转为线下学习。学生希望比较美英两校在职业前景和学习体验上的优劣，并探讨是否值得推迟入学以避免在线学习的影响。

文章探讨了软件安全中的两个关键漏洞：不安全的反序列化和竞态条件。通过Python的`pickle`模块示例，说明了如何通过改用JSON来消除反序列化漏洞，并通过原子操作（如`tempfile.mkstemp`和`os.rename`）解决竞态条件问题，从而提升系统安全性。

文章描述了一次因泥石流导致行程变更的川西之旅。游客们在阴雨天气和高原反应中游览了康定、木格措、墨石公园等地，并体验了当地自然风光与文化。尽管面临挑战，提前准备和旅行社的支持使旅程顺利完成。

Tailwind CSS 创始人因五年前将 Tailwind UI 按钮设为靛蓝色而致歉，称这导致 AI 生成的 UI 也多为该颜色。

Lenovo部分型号摄像头存在漏洞（BadCam），运行Linux且未验证固件。研究人员发现这些设备可被转化为BadUSB装置，用于注入按键记录或发起操作系统无关的攻击。攻击者可远程劫持摄像头并重新刷写固件，使其模拟恶意HID或注入恶意负载。Lenovo已发布更新工具修复此漏洞。

网站使用cookies记录用户偏好和访问记录以优化体验。用户可选择接受所有cookies或通过设置进行个性化管理。

这篇文章介绍了HackerNoon本周的热门技术内容，包括Golang开发MCP服务器提升Claude智能、Alibaba发布高质量AI视频生成模型Wan 2.2、IP地址变化频率及其对数据准确性的影响、MySQL数据类型使用指南等技术趋势与工具更新。

作者在调试循环重定向时发现了一个开放重定向漏洞，并通过注入恶意链接尝试 hijack session。尽管初始测试被阻止，但最终导致了递归重定向的 nightmare。

Google AppSheet平台被发现存在反序列化远程代码执行漏洞，允许攻击者通过恶意payload在后端执行PowerShell命令。安全研究员Chip发现此漏洞后向Google报告，Google迅速修复并支付了1万美元赏金以保护数百万用户。

一位安全测试人员在运行大规模侦察时发现了一个隐藏在OAuth授权流程后的GraphQL端点，并通过工具定位到一个可疑域名auth-api.target.com。

安全专家在大规模侦察中发现隐藏于OAuth授权流程后的GraphQL端点，并利用工具识别出可疑子域名auth-api.target.com。

一位安全测试人员通过银行门户网站的“导出到Excel”功能发现了远程代码执行漏洞，利用旧版Apache POI库（CVE-2021–27568）构造恶意Excel文件，成功获得服务器root权限并获得$200奖励。

作者通过银行门户网站的“导出到Excel”功能发现了一个远程代码执行漏洞。利用该功能生成恶意Excel文件后，成功获得了服务器的root权限，并因此获得了200美元的奖励。

Shopify的Multipass功能存在潜在权限提升漏洞，安全研究员ngalog提交报告至HackerOne漏洞赏金计划。文章解释了权限提升的概念、漏洞发现过程及检测方法，并提供安全建议。

安全研究员ngalog向Shopify的漏洞赏金计划提交报告，指出其Multipass功能存在潜在权限提升漏洞。文章解释了权限提升的概念及其重要性，并详细分析了该漏洞的发现过程及检测方法。

DIY情报系统及时发现未知恶意软件窃取 payroll 数据, 自动化工具快速响应, 有效弥补商业威胁源不足, 基于网络论坛、GitHub 漏洞等多源数据构建情报体系。

文章描述了一次渗透测试经历,作者通过Google dorks搜索意外发现目标网站公开暴露的JWT密钥,最终成功利用该漏洞获取敏感信息。

作者在漏洞赏金平台上寻找目标时使用Google dorks搜索，在尝试查找Atlassian仪表盘时意外发现了一个包含与目标相关文本的仪表盘。