不安全

一个开放的黑客社区，帮助新手成长为资深地下技能专家，提供问答和学习资源，并通过Discord进行交流。

文章介绍了一种在支持柴油和汽油的加油泵上省钱的技巧：使用预付卡或礼品卡支付后，在加油时快速交替按柴油和汽油按钮，导致泵计费混乱，最终只需支付少量费用即可加满油。该技巧适用于多种品牌加油站，并被部分司机广泛使用。

用户尝试通过编辑路由器配置文件启用SSH远程访问功能，但修改后设置被自动重置为禁用状态，寻求解决方案。

文章介绍了异步Beacon Object Files（BOFs）的设计与应用，允许红队在目标环境中部署传感器实时监控事件（如管理员登录），并在不影响植入睡眠的情况下将数据传输至C2服务器。该设计支持自动化任务（如获取TGT、启动键盘记录器），提升红队操作的效率与隐蔽性，并为未来实现类似SIEM的解决方案奠定基础。

该文章介绍了Reddit上的r/blackhat社区，专注于讨论和记录漏洞及利用技术，并提醒用户遵守规则后再参与交流。

作者开发了一个自动化工具来获取Microsoft Rewards积分，并通过设置3秒延迟避免被检测。该工具旨在防止公司剥削员工，并计划进一步改进。

前美军士兵承认参与电信公司数据库入侵和敲诈计划，窃取敏感数据并威胁公开以获取赎金。嫌疑人使用化名和工具非法访问至少10个组织网络，并通过Telegram和犯罪论坛出售数据，涉及金额超百万美元。最终被捕并面临多年监禁。

亚马逊警告其2亿用户警惕Prime会员诈骗邮件。骗子通过伪造亚马逊邮件，声称Prime订阅将自动续费，并附带虚假链接诱导用户输入个人信息或支付细节。亚马逊提醒用户不要点击链接，并建议检查账户信息中心以确认邮件真实性。同时建议启用双重验证和安装网络保护软件以防钓鱼攻击。

这篇文章提到CrystalDiskMark和CrystalDiskInfo这两个工具从特定版本开始嵌入了广告软件（*ads.exe），导致潜在安全风险。

作者在备考期间因压力巨大而尝试通过Google Dorking放松，在发现Philips机密文件后负责任地报告漏洞，最终被该公司授予Hall of Fame荣誉。

文章介绍利用Docker容器创建便携、可重复和可定制的黑客实验室的方法，适用于漏洞赏金猎人、渗透测试员和CTF爱好者。传统工具分散安装复杂且常出现依赖冲突和更新崩溃等问题。通过容器化环境隔离工具运行，避免影响宿主机。

在欧洲AI与社会基金支持下，团队通过技术调查揭示数字劳动平台数据滥用问题，并推动法律行动。借助逆向工程和工人参与，成功使Glovo被罚款500万欧元。团队开发工具包降低证据收集门槛，并计划扩展至其他行业和国家。目标是平衡数字职场中的权力失衡。

文章介绍了FortiGate防火墙与Wazuh的安全日志集成方案，通过Syslog协议实现日志传输与分析。Wazuh利用解码器和规则将原始防火墙日志转化为结构化数据并生成告警，提升威胁检测与响应能力。

安全研究员发现某SaaS平台widget功能存在IDOR漏洞，通过修改UUID可无限制访问其他用户widget，导致账户接管风险。该平台服务超10万家公司，缺乏二次认证机制。

一位安全研究员发现某SaaS平台widget功能存在IDOR漏洞,可通过修改UUID参数无限制访问和编辑其他用户widget,导致账户接管风险,揭示现代网络防御缺陷及多层安全必要性.

一位网络安全研究员通过Nmap扫描发现某测试网关漏洞，利用该漏洞获取了生产凭证。

一位网络安全专家通过Nmap、subfinder等工具扫描发现目标公司测试环境中的开放端口，并利用该端口获取了生产凭证。

利用文件名末尾的点或空格绕过Windows服务器的文件上传验证机制，操作系统自动去除这些字符后导致恶意脚本成功上传。

攻击者利用Windows系统对文件名末尾的点或空格处理特性，上传恶意文件绕过扩展名验证。例如，将恶意文件命名为shell.php.后上传，系统会自动去除末尾的点并保存为shell.php，从而成功上传恶意代码。

文章探讨了设计不当的函数/工具如何导致应用程序安全漏洞，特别是在生成式AI代理中，“不安全的输出处理”成为第二大关键问题。文章通过一个案例展示了设计缺陷如何导致敏感数据泄露或恶意输入注入的风险。