Aggregator

A vulnerability was found in Microsoft Office. It has been declared as critical. This issue affects some unknown processing. Such manipulation leads to heap-based buffer overflow. This vulnerability is traded as CVE-2025-54910. The attack may be launched remotely. There is no exploit available. It is best practice to apply a patch to resolve this issue.

揭秘浦发银行“红沙宣”盗刷事件背后的黑色产业链

当前环境出现异常状态，需完成验证操作后方可继续访问相关内容或服务。

文章介绍了一个免费搭建网络安全家庭实验室的步骤，包括设置Elastic SIEM、配置Sysmon、执行WannaCry勒索软件样本，并进行静态和动态分析。通过使用Autopsy和Volatility进行数字取证，编写KQL检测规则，并结合MITRE ATT&CK框架进行威胁狩猎，帮助读者掌握网络安全分析技能。

文章介绍了解决picoCTF中的“GET aHEAD”挑战的过程，属于Web Exploitation类别，难度为Easy。通过探索不同的HTTP方法和检查服务器响应头中的隐藏信息来发现flag。

Antonio Rivera是一名安全研究员和道德黑客。他通过手动测试和探测发现NASA子域名vuln.nasa.gov中的注入漏洞，并成功利用单引号payload触发调试模式，暴露内部配置信息。该漏洞从报告到修复耗时近两个月，并最终获得NASA的感谢信。

Antonio Rivera作为安全研究员通过手动测试和注入单引号payload发现NASA子域名vuln.nasa.gov中的漏洞，导致网站崩溃并暴露内部配置信息。该漏洞被报告后迅速修复，并获得感谢信。

Antonio Rivera作为安全研究员，在测试一网络应用时发现Broken Object Level Authorization漏洞。他通过创建多个账户并分析请求数据，最终识别出该漏洞，并强调手动测试的重要性。

安全研究员Antonio在测试Web应用时发现Broken Object Level Authorization（BOLA）漏洞。通过创建多个账户并观察数据流动，在尝试用户删除请求时发现跨账户操作漏洞。此经历强调了手动测试和攻击思维的重要性，并提醒自动化工具可能遗漏问题。

文章描述了作者通过分析VaultPass_v2.apk APK文件，发现Firebase配置错误和硬编码凭证，成功绕过身份验证并获取隐藏的flag的过程。

该挑战要求从UART接口提取flag，需先启用开发者模式以获取权限。通过分析错误提示并测试命令，发现devmode功能可实现权限提升。最终成功读取flag并完成挑战。

Google修复了Chrome V8引擎的零日漏洞CVE-2025–10585，该漏洞可能导致远程代码执行。建议用户立即更新浏览器以应对风险。

命令注入是一种安全漏洞，允许攻击者在服务器上执行任意操作系统命令。当应用程序将用户输入直接嵌入系统命令时，攻击者可插入恶意指令，导致潜在风险。

文章讲述了一位安全研究人员从追逐高调漏洞转向关注看似无趣的信息泄露问题的经历。通过寻找API密钥、配置错误和开发文件等信息，他成功发现漏洞并获得赏金。这种方法不仅改变了他的研究方式，也带来了实际收益。

作者分享了从追逐高调漏洞转向关注低关注度但高价值的信息泄露（如暴露源代码、API密钥）的经验，并通过发现金融公司测试站点的安全问题获得赏金的故事，展示了转变安全研究思路的重要性。

Spamhaus是一个国际非营利项目，通过维护多个黑名单（如SBL、XBL）帮助过滤垃圾邮件和网络威胁。它被广泛用于保护邮件系统免受滥用，并影响邮件送达率。企业需注意保持良好的发送习惯、身份验证和列表管理以避免被列入黑名单。

这篇文章分享了作者作为漏洞赏金猎人和网络安全爱好者的经验，探讨如何通过系统性方法发现和利用常见漏洞类别来获得收益，并通过实际案例展示了如何将小问题转化为重大成果。文章适合零基础读者，并提供了持续学习的资源。

OAuth是一种允许第三方应用在不共享密码的情况下代表用户访问资源的框架。其核心组件包括授权服务器、客户端应用、授权码和访问令牌。通过令牌交换机制实现用户身份验证和资源访问控制。然而，配置错误或攻击（如CSRF和开放重定向）可能导致敏感信息泄露或账户接管（ATO），严重威胁用户安全。

小米召回超 11.6 万辆 SU7 标准版，雷军回应；特斯拉 Optimus AI 团队负责人离职加入 Meta；比亚迪仰望 U9 赛道版汽车官宣，超 3000 匹性能猛兽

当前环境出现异常，需完成验证后才能继续访问。