XOR is Weak? Think Again — Meet XORception
文章探讨了通过结合位移、Base64和动态逻辑等技术对XOR进行分层混淆的方法,展示了如何将简单的编码变成静态分析工具难以解析的复杂结构,并提供了实现代码和防御建议。
不安全
CVE-2025–49144: Notepad++ vulnerability allows full system compromise
10 months ago
Notepad++ v8.8.1被发现存在严重漏洞(CVE-2025-49144),攻击者可利用该漏洞通过操控regsvr32.exe路径获取系统权限。安装程序在当前目录搜索依赖项时未验证文件来源,导致恶意代码执行。该漏洞可能与钓鱼攻击结合使用,增加风险。建议采用绝对路径、验证文件签名等措施防范。
CVE-2025–49144: Notepad++ vulnerability allows full system compromise
10 months ago
Notepad++ v8.8.1 存在严重漏洞(CVE-2025-49144),攻击者可利用该漏洞通过恶意 regsvr32.exe 文件获得系统级权限。漏洞源于安装程序未验证依赖项路径的安全性。攻击者可结合钓鱼攻击传播恶意文件,在安装过程中触发漏洞以获取系统控制权。建议使用绝对路径、验证文件完整性及避免从不受信任目录加载依赖项以防范此类风险。
I Automated Recon and Found 100+ Bugs
10 months ago
作者通过一种被忽视的侦察方法发现Fortune 500公司的SSRF漏洞,获得1万美元回报。强调90%黑客忽视关键侦察步骤,如被动侦察(Shodan、Wayback Machine、GitHub Leaks),并指出正确心态比工具更重要。
I Automated Recon and Found 100+ Bugs
10 months ago
作者通过一种被大多数黑客忽视的侦察方法发现了 Fortune 500 公司中的关键 SSRF 漏洞,获得 1 万美元赏金。他强调 90% 的黑客在侦察阶段失败,并分享了被动侦察技巧(如 Shodan、Wayback Machine 和 GitHub 搜索),认为正确的侦察心态比工具更重要。
SQL injection vulnerability in WHERE clause allowing retrieval of hidden data — PortSwigger
10 months ago
文章介绍了SQL注入的基础知识及其攻击过程。通过讲解SQL命令(如SELECT、WHERE、UNION等),并结合实际示例演示如何利用参数漏洞进行攻击,最终成功提取数据并解决实验室问题。
SQL injection vulnerability in WHERE clause allowing retrieval of hidden data — PortSwigger
10 months ago
本文介绍了SQL注入(SQLi)的基础知识及其实际应用。通过解释SQL、数据库的概念以及常用命令(如SELECT、WHERE、UNION等),并结合实际案例演示如何利用SQL注入漏洞(如通过单引号引发错误、使用OR条件绕过验证)来解决PortSwigger实验室问题。
SQL injection attack, querying the database type and version on Oracle — PortSwigger
10 months ago
文章介绍了如何通过SQL注入攻击从Oracle数据库中提取版本信息。利用DUAL表和UNION SELECT语句构造payload,绕过参数验证并获取敏感数据。重点讲解了Oracle数据库的特点和攻击方法。
SQL injection attack, querying the database type and version on Oracle — PortSwigger
10 months ago
文章介绍了Oracle数据库的基础知识和SQL注入技巧,包括利用DUAL表和v$version视图提取数据库版本信息,并展示了如何通过构造特定payload实现注入。
SQL injection attack, querying the database type and version on MySQL and Microsoft
10 months ago
文章介绍了一种针对MySQL数据库的SQL注入攻击方法,通过测试输入参数和构造UNION SELECT语句来查询数据库版本信息。
SQL injection attack, querying the database type and version on MySQL and Microsoft
10 months ago
Rayofhope通过PortSwigger实验室演示了如何利用Union-based SQL注入攻击查询MySQL数据库的类型和版本。通过测试单引号、双引号和注释符确定列数,并使用`UNION SELECT`语句结合`@@version`成功获取数据库版本信息。
X/Twitter开始用Grok AI替代谷歌翻译 进行跨语言翻译时直接由AI处理
10 months ago
X/Twitter正测试用Grok AI替代谷歌翻译以提升准确性。尽管速度可能不及谷歌快,但目前在网页版向部分用户开放。
Help wanted..
10 months ago
这是一个开放的黑客社区,旨在帮助新手成长为专家。用户可以提问、回答问题并学习地下技能。社区提供Discord链接供交流,并显示在线成员数量。
A week in security (June 23 – June 29)
10 months ago
文章提到近期网络安全威胁频发:包括DocuSign文档邀请异常、越狱AI模型被用于网络犯罪、Do Not Call Registry失效、面部识别普及引发隐私担忧以及数据经纪人跨州注册问题突出。
/r/ReverseEngineering's Weekly Questions Thread
10 months ago
为减少噪音问题,禁用自我发布功能,改为每周统一的问题线程。鼓励在此提问逆向工程相关问题,但涉及特定工具或目标的问题建议转至Reverse Engineering StackExchange或r/AskReverseEngineering。
好运派送,季度抽奖欧皇诞生记!?
10 months ago
当前环境异常,需完成验证后继续访问。
行业严选 | 梆梆安全两款产品入选《中国网络安全细分领域产品名录》
10 months ago
梆梆安全凭借其“应用安全测评平台”和“物联网加固平台”两款产品,在核心技术、市场表现等方面的优势,成功入选《中国网络安全细分领域产品名录》。该名录由嘶吼安全产业研究院编制,经过对400余家企业的深入调研和多维数据评估而成。此次入选标志着梆梆安全在移动安全、软件供应链安全及物联网安全领域的技术实力和市场地位再次获得权威认可。未来,梆梆安全将继续深耕相关领域,提升产品能力,为行业提供更贴合需求的安全解决方案。
With Cayoso Contract, IRS Finally Tackles Modernization
10 months ago
美国国税局(IRS)与Cayosoft合作替换旧技术系统,旨在提升效率、现代化基础设施并增强安全性。新平台支持云和混合环境,并帮助 IRS 监控金融和加密货币交易以满足合规要求。
Hover Zoom+ 开源浏览器扩展:鼠标经过时放大图片、视频,支持 383 个网站
10 months ago
Hover Zoom+ 是一款开源浏览器扩展,在鼠标悬停时放大图片和视频,支持 383 个网站如微博、知乎等。它安全可靠且免费获取。
谷歌在Android 16中提升伪基站保护 但这些新功能可能仅限于新款手机
10 months ago
Android 16新增两项安全功能:当基站请求IMEI时弹出提醒,并可设置禁用2G网络以防范伪基站威胁。但这些功能可能仅限于新设备,旧设备因基带兼容性问题无法启用。
Checked
3 hours 34 minutes ago
unSafe.sh - 不安全
不安全 feed