*本文原创作者:艾登——皮尔斯,本文属于FreeBuf原创奖励计划,未经许可禁止转载 前言 各位Buffer你们好,我们许久不见胜似想念,我看到小粉你们的感觉就是”春风拂过泸沽湖,秋雨浸润九寨沟”。今...
WEB安全
WEB安全
WEB安全
左右互搏术的自我修养
*本文原创作者:罹♛殇,本文属于FreeBuf原创奖励计划,未经许可禁止转载 0×01:前言 对类似《一个人的安全部之企业信息安全建设规划》,《左右互博:站在攻击者的角度来做防护》这样的一个人的安全部...
WEB安全
二维码扫码登录“克星”QRLJacker攻击向量分析及演示
QRLJacker,又名Quick Response Code LoginJacking,这是一种简单但功能强大的攻击向量,大部分拥有二维码扫码登录功能的Web应用程序都会受到这种攻击向量的影响,这种...
Facebook Marketplace
挖洞经验 | 获取Facebook Marketplace卖家精确地理位置信息
本文分享的writeup是与Facebook Marketplace销售系统相关的用户信息泄露漏洞,通过该漏洞可以获取到发布商品卖家的精确到经纬度和邮编等具体地理位置信息。漏洞上报一波三折,经历拒绝后...
NovaLoader
NovaLoader:一款针对巴西银行的恶意软件家族
写在前面的话 近期,研究人员检测到了一个非常有趣的针对巴西银行的恶意软件活动。这款恶意软件名叫NovaLoader,采用Delphi开发,并且使用了Visual Basic Script(VBS)脚本...
DNS
关于DNS隧道技术的滥用调查
在本报告中,我们将介绍基于DNS的数据过滤和渗透的类型,方法,并提供了一些防御机制。 在本报告中,我们将介绍基于DNS的数据过滤和渗透的类型,方法,并提供了一些防御机制。 DNS DNS使用端口53,...
RCE漏洞
戴尔电脑自带系统软件SupportAssist存在RCE漏洞
你用的电脑是什么品牌的?你有没有对你电脑系统中预装或自带软件的安全性产生过怀疑?当我们谈论远程代码执行漏洞(RCE)时,可能大多数人会认为它和操作系统漏洞相关,但是有没有人考虑到预装到电脑系统中的第三...
CatFish CMS
CatFish CMS V4.8.75最新版XSS漏洞审计
作为一名没入门的新手的第一篇文章,大佬轻喷,大佬轻喷,大佬轻喷!如有不对,欢迎指正。 这里用到的是最新版的CatFish CMS V4.8.75,是一款开源免费的个人博客及企业建站系统。 首先在官网下...
twitter
挖洞经验 | 看我如何让你和你的Twitter粉丝无法刷新朋友圈
大家好,今天分享的这个writeup是关于Twitter的一个Dos漏洞,利用该漏洞,只需发送一条推特朋友圈,就可以触发Twitter后端服务器解析错误,导致你和你的粉丝账户无法刷新推特朋友圈。 大家...
Getshell
RFI绕过URL包含限制Getshell
*本文作者:cck,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言 为什么有今天这篇文章?原因是我在浏览Twitter时,发现关于远程文件包含RFI的一个奇淫技巧!值得记录一下,思路也...
CSRF High
DVWA 1.10 High等级的CSRF另类通关法
*本文作者:F1tz,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言 网上有很多关于CSRF High等级的通关记录,但是都有一个缺陷,没有做到自动触发修改密码。这里记录了我在解题时的...
dotfile
挖洞经验 | 通过GitHub上泄露的dotfile文件获得Zendesk代码项目和网络资产访问权限
本文中,Assetnote发现了厂商Zendesk公司泄露在GitHub上的信息,该信息包含了可远程访问Zendesk网络资产的相关密码凭据,可以访问Zendesk公司的大量代码项目和网络资产,影响严...
