不安全

Spotify用户因账户被黑后找回而愤怒，提供黑客邮箱请求 Reddit 用户帮助追踪或公开信息，并希望至少让对方受到惊吓。

/r/netsec 是一个由社区管理的信息安全内容聚合平台，旨在为安全从业者、学生、研究人员和黑客提供高质量的技术信息，并从信息噪音中提取信号。

文章描述了作者在日本东北地区的旅行经历，从青森睡魔祭的热闹到种差海岸的静谧自然，再到男鹿半岛的文化体验与自然奇观。通过丰富的视觉与情感描写，展现了当地独特的文化魅力与自然风光。

四个恶意软件包伪装成合法工具和Flashbots MEV基础设施上传至npm registry，窃取Ethereum开发者的钱包私钥和助记词，并将其发送至Telegram机器人。这些包最早于2023年9月上传，其中最危险的包通过SMTP隐蔽传输环境变量，并重定向未签名交易至攻击者钱包。代码中含越南语注释，暗示攻击者可能来自越南。

HackerNoon平台上的科技新闻排名,基于页面浏览量、互动量和评论数,于2025年9月6日发布,作者为TechBeat.

文章描述了一个团队协作平台的漏洞：在测试过程中发现文件上传功能中的file_url参数可被篡改指向外部服务器，导致攻击者能够获取目标用户的关键信息（如IP地址、操作系统版本、城市等），对用户隐私构成严重威胁。

文章描述了一个团队协作平台的漏洞测试过程。作者在测试聊天功能中的文件上传时发现，通过篡改上传请求中的file_url参数，可以捕获用户敏感信息如IP地址、操作系统版本和所在城市等。该漏洞可能导致用户隐私泄露，对团队安全构成威胁。

2017年5月的WannaCry勒索软件攻击揭示了Windows系统的漏洞，并展示了其快速传播和加密文件的能力。通过逆向工程分析，揭示了其利用EternalBlue漏洞、网络传播机制、持久化技术和内置 kill switch 的工作原理。

文章介绍了一种通过C++编写自定义Shellcode的方法，用于绕过高-tech安全系统检测。该方法利用Windows内存结构（如PEB和TEB）定位Kernel32.dll，并手动解析其导出表以获取GetProcAddress函数地址。通过将字符串编码为Hex格式存储在Shellcode中，并利用GetProcAddress动态调用其他API函数（如LoadLibraryA），可以实现更隐蔽的恶意功能。文章还提供了一个反向shell的完整示例代码，并强调了自定义Shellcode在灵活性和隐蔽性方面的优势。

文章介绍了如何通过多种技术手段（如DNS侦察、子域名枚举、网络爬虫和WHOIS查询）发现隐藏的真实服务器IP地址，绕过云WAF保护以进行安全测试或漏洞挖掘。

文章介绍如何发现隐藏的服务器来源，通过结合多种网络安全工具和技术（如DNS侦察、网络扫描等），绕过云WAF保护，掌握关键的第一步——原服务器发现。

作者测试了一个加密货币平台的安全性，发现了缓存欺骗和访问控制漏洞，并成功复现了问题。尽管报告了漏洞但因重复未获奖励，对平台感到失望但仍坚持寻找漏洞。

一位安全研究人员测试加密货币平台时发现缓存欺骗和访问控制漏洞，并成功利用接触ID绕过限制。尽管报告被标记为重复且修复延迟，他仍坚持漏洞挖掘。

作者通过目录暴力破解发现HP打印机未受保护的管理页面，可直接访问并修改网络设置、添加联系人或切断网络连接，最终报告漏洞获700美元奖励。

作者通过目录暴力破解发现HP打印机未受保护的管理页面,可直接访问并控制打印机设置,最终获得$875奖励。

通过在URL末尾添加.css等扩展名，利用服务器与缓存层之间的通信漏洞，将用户的敏感金融数据缓存到公共缓存中，从而实现未授权访问。

文章描述了一种Web Cache Deception（WCD）攻击，通过在URL末尾添加.css等文件扩展名，欺骗系统将敏感数据缓存到公共缓存中，从而获取用户的财务数据。该漏洞利用了服务器与缓存层之间的通信问题，并成功获得了$4000的漏洞赏金。

文章描述了三种级别的跨站脚本（XSS）攻击测试：低级通过直接注入``标签触发弹窗；中级利用大小写混合绕过黑名单过滤；高级使用``标签的`onerror`事件绕过正则表达式过滤。

Adwaith分享了他在TryHackMe平台上完成Biohazard CTF挑战的详细过程。从端口扫描到漏洞利用，再到解码Base64、ROT13等加密信息以获取旗帜（flag），并最终完成挑战。

文章介绍了OSINT（开放源情报）的概念及其重要性，强调通过合法和道德的方式利用公开数据进行分析。内容涵盖OSINT的基本定义、常用术语、工具（如搜索引擎、元数据提取工具）、匿名化方法及安全伦理指南，并鼓励读者通过实践项目提升技能。