TDL004 | Understanding Microsoft Zero Trust DNS with Aditi Patange 不安全 10 months ago 微软推出Windows 11企业安全功能Zero Trust DNS,默认阻止所有出站连接,仅允许通过受信任DNS服务器或IT管理员配置的可信连接。该功能旨在响应美国政府网络安全行政命令,在不终止TLS情况下保护网络。测试中故意破坏旧应用以推动现代化和安全改进,并可防止钓鱼攻击。Aditi Patange强调基础设施重要性,呼吁组织采用加密DNS替代传统端口53。
How can I scope third-party assets? 不安全 10 months ago 文章探讨了如何在漏洞赏金计划中负责任地界定第三方资产的范围,强调了获得供应商授权、明确界定范围的重要性,并提供了处理漏洞报告和与供应商合作的具体建议。
Broken like Hijacking earned me $150 不安全 10 months ago 断链劫持指攻击者利用网站失效链接(如过期域名、停用社交媒体账号)获取控制权,用于篡改网站内容、钓鱼攻击或注入恶意脚本。检测时可点击链接查看是否返回404错误。
AspGoat: The First Intentionally Vulnerable modern ASP.NET Core App for OWASP Top 10 不安全 10 months ago AspGoat 是一个基于 ASP.NET Core 的故意漏洞 Web 应用程序,旨在帮助开发者、安全研究员和赏金猎人提升技能。它包含 OWASP Top 10 及其他漏洞的练习,并支持 Docker 快速部署。
Web Cache Poisoning via Fat GET Requests: Exploiting Cache Key Flaws 不安全 10 months ago 文章探讨了包含消息体的GET请求如何导致Web缓存中毒。攻击者利用服务器对这类请求的处理漏洞,在缓存中注入恶意内容,引发跨站脚本(XSS)和基于缓存的攻击。
When Support Portals Bite Back: DOM-XSS in a Helpcenter 不安全 10 months ago 一位安全研究人员在浏览Freshdesk支持页面时发现了一个DOM-XSS漏洞。通过查看页面源代码,他发现一个脚本直接将API返回的tunnel.host和tunnel.ip拼接到DOM中,存在XSS风险。虽然未造成实际损害,但成功触发了alert(document.domain)。
This is the obvious answer. And why it’s so easy to hack Wi-Fi router 不安全 10 months ago 一个开放的黑客社区,旨在帮助新手成长为资深地下技能专家,提供问答学习平台,并邀请加入Discord群组进行交流。
持续1个月的降智才被发现 Claude修复影响3.5和4系列模型的降智问题 不安全 10 months ago Claude AI 在 8 月 5 日至 9 月 4 日间出现降智问题,影响多个模型版本。尽管开发者早在 8 月就已反馈问题,但 Anthropic 直到上周才开始调查并修复。公司否认故意限制性能,并表示感谢社区帮助解决问题。然而用户对修复延迟及未提供补偿表示不满。
周下载量超过20亿次的NPM包被投毒 开发者被钓鱼泄露凭据 黑客篡改网页盗取加密货币 不安全 10 months ago 黑客利用NPM生态系统中的18个流行软件包发起供应链攻击,这些包每周下载量超20亿次。黑客通过钓鱼攻击开发者Josh Junon获取权限,在软件包中植入恶意代码以篡改浏览器事务并窃取加密货币。
虚假PDF编辑器暗藏TamperedChef信息窃取恶意软件 不安全 10 months ago Truesec发现网络犯罪分子利用虚假PDF编辑器分发TamperedChef信息窃取恶意软件,并通过谷歌广告推广。该恶意软件通过更新激活信息窃取功能,并诱导用户将其设备注册为住宅代理以牟利。活动涉及50多个域名及虚假证书签名的应用程序。
美国制裁柬埔寨、缅甸网络诈骗中心背后的公司 不安全 10 months ago Cloudflare错误代码521通常由服务器连接问题、配置错误或网络中断引起。常见解决方法包括检查服务器状态、确认防火墙设置正常、重启路由器等操作以恢复服务连接。
微软在Windows 11资源管理器中新增AI操作 同时在通知中心增加时间模块 不安全 10 months ago 微软在 Windows 11 Build 27938 中新增资源管理器 AI 操作功能,并在通知中心显示时间。用户可直接调用 AI 进行图片处理或文档摘要等操作,默认需跳转至对应应用。通知中心时间显示需手动开启。此外还修复了多项系统问题并优化性能。
黑客称美国第二大鸡蛋生产商遭遇攻击 不安全 10 months ago 这篇文章描述了错误代码521的含义及其常见原因。该错误通常由Cloudflare引发,表示与目标服务器的连接超时或失败。常见原因包括服务器配置问题、网络延迟或防火墙设置不当等。
渗透测试靶场集合 - 渗透测试中心 不安全 10 months ago 文章介绍了漏洞靶场的搭建方法及工具使用技巧,包括源代码搭建、Docker环境、虚拟机靶场等类别,并推荐了多种靶场资源如DVWA、Vulfocus、Pikachu等,还涉及PHP、ASP/X、JSP环境及逻辑漏洞靶场的搭建与使用。