Aggregator

本文描述了一个Web Exploitation CTF挑战的解决过程，包括访问登录页面、输入假凭证以触发后台请求，并通过观察和工具分析来发现隐藏的信息。

本文介绍了一个picoCTF中的Bookmarklet挑战，通过使用JavaScript bookmarklets和浏览器控制台脚本获取隐藏flag。虽然任务简单，但涉及浏览器安全警告，提醒用户注意实际操作中的安全问题。

单点登录（SSO）因身份验证配置错误存在重大安全漏洞。攻击者可利用相同邮箱绕过验证机制，导致账户接管和跨公司数据泄露。

文章指出单点登录(SSO)存在配置错误导致安全漏洞。攻击者可利用相同邮箱地址绕过身份验证，访问其他公司数据。该漏洞源于身份提供商未验证邮箱所有权，属于逻辑缺陷，影响严重。

表情符号可能成为攻击AI模型的工具。AI通过将文本转换为数值块（tokens）来理解内容，而表情符号作为特殊字符可能导致模型解析错误，引发数据泄露等安全问题。

文章介绍了使用Selenium进行浏览器自动化的方法及其在网络安全中的应用，包括配置浏览器选项、使用反检测技术以及编写暴力破解脚本。

作者Chetan Chinchulkar分享了如何利用Selenium进行浏览器自动化攻击，包括绕过CAPTCHA、CSRF保护和动态数据提取的技术。通过配置浏览器选项、使用隐身模式和编写Python脚本，演示了如何模拟用户行为并执行暴力破解攻击以获取敏感信息。

文章描述了一次Boot2Root CTF比赛的详细过程。参与者通过nmap扫描发现Web服务器并使用ffuf进行目录爆破，找到存在SSTI漏洞的页面以获取初始访问权限。随后分析隐藏数据和 pcapng 文件以获取 SSH 凭证并登录到 flower 用户。通过修改 daemon.py 脚本实现 leaf 用户提权，并利用 challenge 二进制文件中的栈溢出漏洞进一步提升至 stem 用户权限。最后通过对 final 二进制文件进行格式化字符串攻击和 ROP 链构造获得 root 权限并完成比赛任务。

文章描述了从初始访问到完全控制服务器的过程：通过nmap扫描发现Web服务器并使用ffuf模糊测试找到漏洞；利用SSTI漏洞获取 foothold；通过修改脚本获得 leaf 用户权限；分析二进制文件并利用ROP链获取 stem 用户权限；最后通过格式化字符串漏洞和栈溢出攻击获取 root 权限并获得四个 flag。

文章指出某些应用通过HTTP而非HTTPS发送验证或重置链接，导致敏感令牌暴露在不安全的网络环境中。攻击者可借此劫持用户账户。尽管登录页面使用HTTPS看似安全，但邮件中的HTTP链接却成为关键漏洞。

文章指出许多应用在发送验证或重置链接时使用HTTP而非HTTPS，导致敏感令牌暴露。即使登录页面使用HTTPS，攻击者仍可通过截获邮件获取令牌并接管账户。

团队在C0C0N CTF中后期加入，在24小时内迅速应对API漏洞、DNS隧道等挑战，最终获得第20名。通过分析日志和流量捕获，发现攻击者利用路径遍历获取数据库凭证，并通过DNS隧道传输加密数据。最终提取出解密密钥并成功破解。

AI agents are becoming more common in the workplace, but giving them access to sensitive systems can be risky. Credentials often get stored in plain text, added to prompts, or passed around without proper oversight. Delinea wants to fix that problem with its new open source Model Context Protocol (MCP) Server. How the Delinea MCP Server works The MCP Server connects AI agents to the Delinea Platform, allowing them to securely retrieve and use credentials. … More →

The post Delinea releases free open-source MCP server to secure AI agents appeared first on Help Net Security.

Name: HackornCTF 2025 Quals (an Hackorn event.)
Date: Sept. 25, 2025, midnight — 25 Sept. 2025, 23:59 UTC  [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.secpen.org/
Rating weight: 0
Event organizers: Hackorn

A CVSS score 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H severity vulnerability discovered by 'Oscar Bataille' was reported to the affected vendor on: 2025-09-26, 75 days ago. The vendor is given until 2026-01-24 to publish a fix or workaround. Once the vendor has created and tested a patch we will coordinate the release of a public advisory.

实时欺诈检测API因硬件资源问题故障,导致每分钟损失1.5万美元。团队错误地通过增加GPU节点应对,最终发现是架构设计问题,经过6个月优化,实现每秒处理10万次请求,推理成本降低83%。

A sophisticated phishing campaign has emerged targeting maintainers of packages on the Python Package Index (PyPI), employing domain confusion tactics to steal authentication credentials from unsuspecting developers. The attack leverages fraudulent emails designed to mimic official PyPI communications, directing recipients to malicious domains that closely resemble the legitimate PyPI infrastructure. The phishing operation utilizes carefully […]

The post New Phishing Attack Targeting PyPI Maintainers to Steal Login Credentials appeared first on Cyber Security News.

10万网络作战人员

当前环境出现异常提示，请完成验证后继续访问。

苹果批评欧盟数字市场法案导致新功能延迟推出、第三方商店出现成人应用及用户面临更高欺诈风险。欧盟则表示不会废除该法案，并强调其旨在限制大型科技公司影响力、促进公平竞争。