Aggregator

Когда приватный ИИ стал публичным.

Grok 4 is a huge leap from Grok 3, but how good is it compared to other models in the market, such as Gemini 2.5 Pro? We now have answers, thanks to new independent benchmarks. [...]

实力霸榜！360再登《数字安全护航技术能力全景图》

360独家截获定向攻击：AI开发工具藏毒！黑客篡改插件洗劫加密货币

作者在备考期间因压力巨大而尝试通过Google Dorking放松，在发现Philips机密文件后负责任地报告漏洞，最终被该公司授予Hall of Fame荣誉。

文章介绍利用Docker容器创建便携、可重复和可定制的黑客实验室的方法，适用于漏洞赏金猎人、渗透测试员和CTF爱好者。传统工具分散安装复杂且常出现依赖冲突和更新崩溃等问题。通过容器化环境隔离工具运行，避免影响宿主机。

在欧洲AI与社会基金支持下，团队通过技术调查揭示数字劳动平台数据滥用问题，并推动法律行动。借助逆向工程和工人参与，成功使Glovo被罚款500万欧元。团队开发工具包降低证据收集门槛，并计划扩展至其他行业和国家。目标是平衡数字职场中的权力失衡。

文章介绍了FortiGate防火墙与Wazuh的安全日志集成方案，通过Syslog协议实现日志传输与分析。Wazuh利用解码器和规则将原始防火墙日志转化为结构化数据并生成告警，提升威胁检测与响应能力。

安全研究员发现某SaaS平台widget功能存在IDOR漏洞，通过修改UUID可无限制访问其他用户widget，导致账户接管风险。该平台服务超10万家公司，缺乏二次认证机制。

一位安全研究员发现某SaaS平台widget功能存在IDOR漏洞,可通过修改UUID参数无限制访问和编辑其他用户widget,导致账户接管风险,揭示现代网络防御缺陷及多层安全必要性.

一位网络安全研究员通过Nmap扫描发现某测试网关漏洞，利用该漏洞获取了生产凭证。

一位网络安全专家通过Nmap、subfinder等工具扫描发现目标公司测试环境中的开放端口，并利用该端口获取了生产凭证。

利用文件名末尾的点或空格绕过Windows服务器的文件上传验证机制，操作系统自动去除这些字符后导致恶意脚本成功上传。

攻击者利用Windows系统对文件名末尾的点或空格处理特性，上传恶意文件绕过扩展名验证。例如，将恶意文件命名为shell.php.后上传，系统会自动去除末尾的点并保存为shell.php，从而成功上传恶意代码。

文章探讨了设计不当的函数/工具如何导致应用程序安全漏洞，特别是在生成式AI代理中，“不安全的输出处理”成为第二大关键问题。文章通过一个案例展示了设计缺陷如何导致敏感数据泄露或恶意输入注入的风险。

本文探讨了服务器端模板注入（SSTI）这一高风险低关注度的安全漏洞。通过分析模板引擎的工作原理及用户输入处理方式，揭示了未经验证或消毒的用户数据可能导致恶意代码注入的风险。文章以Flask+Jinja2为例展示了漏洞利用过程，并探讨了其可能导致的数据泄露、远程代码执行等严重后果。同时提供了识别和防范该漏洞的方法与建议。

这篇文章介绍了服务器端模板注入（SSTI）的概念及其影响，讨论了常见模板引擎的工作原理和潜在风险，并提供了检测和利用SSTI的方法以及防御建议。

实时应用中常见的WebSocket协议因缺少身份验证检查可能导致用户数据、令牌或账户被攻击者窃取。

一位安全研究人员发现某域名平台价格字段未进行服务器端验证,可随意篡改价格。他将$239域名改为$1并成功下单,随后负责任披露漏洞但未获回复,漏洞至今未修复。该问题暴露企业对客户端信任的严重缺陷,强调所有关键逻辑必须服务器端验证。