Hunting OS Command Injection
介绍如何利用Burp Suite手动检测OS命令注入漏洞的方法,强调其严重性和潜在风险,并提供实际步骤指导。
不安全
Chaining Path Traversal Vulnerability to RCE — Meta’s 111,750$ Bug
3 months 2 weeks ago
在Facebook Messenger for Windows中发现的关键漏洞通过路径遍历和DLL劫持技术实现远程代码执行(RCE),最终获得$111,750奖金。攻击链利用Messenger客户端对文件名处理不当的问题,在受限环境下通过精心设计的文件名突破限制,并利用Viber等应用的DLL加载机制实现代码执行。这一案例展示了多个低危漏洞结合后的巨大威胁,并强调了客户端验证和环境理解的重要性。
Certified Red Team Analyst — Exam Review
3 months 2 weeks ago
文章分享了作者参加CRTA(Red Team Analyst)认证考试的经历与学习心得。课程内容涵盖Active Directory基础知识及攻击技术(如Kerberoasting、Golden Ticket),适合Red Teaming新手。作者建议学员先完成视频学习再激活30天实验室,并记录命令与步骤以加深理解。考试难度适中但需灵活思考,最终作者在第二次尝试中成功通过。整体而言,课程设计优秀且实用性强。
How I Found My First SQL Injection Bug Bounty
3 months 2 weeks ago
文章讲述了作者通过时间基有效载荷、sqlmap和细致的侦察发现第一个SQL注入漏洞的经历,强调了SQL注入在Web安全中的重要性,并分享了耐心和细致侦察在漏洞挖掘中的关键作用。
How I Found My First SQL Injection Bug Bounty
3 months 2 weeks ago
文章讲述了一位新人通过时间戳载荷、sqlmap和侦察技术成功发现SQL注入漏洞的经历,展示了SQL注入在网络安全中的重要性,并强调了侦察在漏洞挖掘中的关键作用。
Hack The Box — Synced (rsync)
3 months 2 weeks ago
这篇文章介绍了rsync协议及其在文件同步中的应用。rsync通过增量传输算法提高效率,默认使用873端口。用户可通过匿名认证连接rsync服务,并使用命令行工具列出共享目录和下载文件。文章还展示了如何通过rsync获取flag.txt文件以完成任务。
The API Security Dilemma: Why Traditional Approaches Are Failing in the AI Era
3 months 2 weeks ago
API已成为数字基础设施的核心,但随着使用量激增和复杂性增加,传统安全措施难以应对。AI和自动化进一步加剧了风险。现代API生态系统涉及多种协议和云环境,传统工具无法有效保护。Security Edge通过边缘安全、低延迟和实时监控提供解决方案。
Merchant Transaction Data Exposure
3 months 2 weeks ago
作者在对目标网站进行子域名侦察时,使用subfinder发现两个dashboard子域名,并通过ffuf工具进一步fuzzing发现了更多潜在子域名。
The Cyberthreats No One Talks About but Everyone Faces
3 months 2 weeks ago
文章探讨了隐藏的网络安全威胁,包括社会工程、影子IT、智能设备漏洞、供应链攻击及未来AI与量子计算风险。这些威胁利用技术与人为失误对企业与个人构成潜在危害。
⚡ Weekly Recap: Drift Breach Chaos, Zero-Days Active, Patch Warnings, Smarter Threats & More
3 months 2 weeks ago
文章总结了本周网络安全领域的重大事件和趋势,包括Salesloft-Drift供应链攻击、多个高风险CVE漏洞被利用、威胁行为者动态及安全工具更新等,并提供了锁定路由器的安全建议以应对日益复杂的网络威胁。
Reports Hub Shapes Cyber Risk Insights for Leaders | Kovrr
3 months 2 weeks ago
Kovrr的Reports Hub通过将网络安全风险量化数据转化为定制化报告,帮助不同决策者(如董事会、高管和风险经理)以符合其需求的方式理解风险信息。该平台提供预定义报告和定制选项,涵盖企业风险敞口、保险对齐、投资回报等主题,并将技术数据转化为财务视角,助力企业战略规划和长期决策。
Stopping ransomware before it starts: Lessons from Cisco Talos Incident Response
3 months 2 weeks ago
思科塔洛斯团队分析了过去两年半的预勒索软件事件,发现快速响应和及时处理安全警报是阻止勒索软件的关键因素。文章还总结了常见的预勒索软件指标和安全建议,以帮助组织提升防御能力。
网络安全法修正草案已提请全国人大常委会会议审议
3 months 2 weeks ago
当前环境出现异常,需完成验证后才能继续访问。
AI驱动漏洞挖掘!利用智能体发现57个安卓APP未知漏洞
3 months 2 weeks ago
当前环境异常,需完成验证后继续访问。
派评|近期值得关注的 App
3 months 2 weeks ago
文章介绍了几款新应用及其更新:Luggy 提供旅行物品管理功能;Aktivpause 帮助用户在工作间隙锻炼;Parallels Desktop 26 支持更多操作系统;Tot 增加了自定义 Smart Bullets 和文本分隔线;小星记账优化了账户管理和自动记账功能;OmniFocus 4.7 新增计划日期和重复任务优化功能。此外,Nova Launcher 可能面临开发停止。
Learn to Build, Train, and Export RetinaNet (ResNet-50) on a Custom Dataset
3 months 2 weeks ago
TensorFlow 是由 Google 开发的开源机器学习框架,用于数值计算和构建机器学习模型。其 Model Garden 提供多种预训练模型和工具,支持开发者快速定制和微调模型以满足特定需求。
How to Customize BERT Encoders with TensorFlow Model Garden
3 months 2 weeks ago
TensorFlow 是 Google 开发的开源机器学习框架,用于数值计算和构建模型。文章介绍了其功能、应用案例及技术细节。
TensorFlow Models NLP Library for Beginners
3 months 2 weeks ago
TensorFlow是由Google开发的开源机器学习框架,用于数值计算和构建模型。文章介绍了如何使用TensorFlow Model Garden自定义BERT编码器,并探讨了提升Keras模型训练速度的方法。
Keras Not Flexible Enough? Orbit Your Way to Better BERT Training
3 months 2 weeks ago
TensorFlow 是由 Google 开发的开源机器学习框架,用于数值计算和构建机器学习模型。它提供丰富的技术文档、模型库及工具支持,助力开发者高效实现 AI 项目。
You Didn’t Get Phished — You Onboarded the Attacker
3 months 2 weeks ago
文章探讨了招聘欺诈成为新的网络安全威胁:攻击者通过伪造身份、简历和背景调查入职企业,在内部获取敏感权限并实施破坏。远程招聘的普及使这一威胁加剧。文章建议采用零信任原则和最小权限管理来防范此类风险。
Checked
7 hours 8 minutes ago
unSafe.sh - 不安全
不安全 feed