记一次某大厂csrf漏洞通过蠕虫从低危到高危
文章首发在:奇安信攻防社区https://forum.butian.net/share/4190本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度初见端倪在上传的头像的点位:
阅读全文一个针对Exchange邮件服务器的后渗透利用工具,用于从 Exchange 服务器下载邮件,搜索邮件,获取人员信息等
1►工具介绍EWSTool是一个针对EXCHANGE邮件服务器的后渗透利用工具。使用ews接口,实现人员邮箱列表获取、搜索邮件、下载邮件等实用功能。2►工具功能获取人员信息:获取所有人员信息及邮箱地址
阅读全文一男子用 AI 造谣“顶流明星在澳门输了 10 亿”被行拘 8 天;|CISA警告:苹果WebKit越界写入漏洞已被野外利用
一男子用 AI 造谣“顶流明星在澳门输了 10 亿”被行拘 8 天IT之家 3 月 14 日消息,本周一开始,一则“有顶流明星在澳门输了 10 亿”的信息在互联网平台传播,引发网民热议和各种猜测,诱发
阅读全文AI安全的头等大事:建立AI资产清单
AI资产清单不仅是列出工具清单,更需评估其数据安全与合规风险。随着人工智能(AI)技术的迅猛发展,企业首席信息安全官(CISOs)正面临前所未有的挑战,既要满足企业业务快速迈向智能化的需求,同时又要防
阅读全文实战案例!记一次攻防演练突破
序言近期一次攻防演练外网打点在给定的靶标进行外网信息收集,有一处老旧站点,网站架构为iis+asp.net+mssql,搜索框处存在sql注入漏洞,尝试sqlmap检出3类注入,其中时间类型注入存在性
阅读全文分享一款综合型Java漏洞平台
项目介绍JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI……支持漏洞模块跨站脚本攻击、跨站请
阅读全文我国某驻外机构一公职人员被间谍策反,大量泄密!国安部披露详情;|AI会取代渗透测试工程师吗?
我国某驻外机构一公职人员被间谍策反,大量泄密!国安部披露详情;“先生,这样的照片,您也不想被登报公开吧?”面对来自境外间谍情报机关明晃晃的威胁,张某悔恨不已,却也无计可施。记者从国家安全部了解到,近期
阅读全文网络安全防御的六大热门AI应用
AI时代网络安全攻防战已进入“毫秒级竞赛”,“攻击者每年提速10到14分钟,防御者的响应必须比他们更快。”CrowdStrike高级副总裁Adam Meyers的警告,揭示了当前网络安全的核心矛盾——
阅读全文记一次漏洞挖掘过程中的SQL注入浅浅绕过记录
文章首发在:先知社区https://xz.aliyun.com/news/170770x00 文章背景日常测试时发现客户网站存在注入,我看着这界面的样子就像是个CMS来的,搜集一会之后确认了,果然是。
阅读全文Burp Suite 短信轰炸辅助绕过插件
1►工具介绍本Burp Suite插件专为短信轰炸漏洞检测设计,提供自动化Fuzz测试!作者:昱子🛡️ 绕过手段包含但不限于以下:参数污染参数复用填充垃圾字符特殊字符号码区号接口遍历组合测试.....
阅读全文直接删!警惕这类“网友”,有人险些被骗86万!|业务系统被黑致客户数据泄露,这家大型企业赔偿近5000万元;
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!直接删!警惕这类“网友”,有人险些被骗86万!近日临平公安南苑派出所收到线索市民黄女士(化名)遭遇诈骗反诈专员立
阅读全文恶意推送通知如何沦为网络诈骗工具?
推送通知是许多网站用来吸引用户参与的一种常见功能。然而,当这些通知被恶意利用时,会发生什么?Infoblox威胁情报副总裁Renée Burton最近分享了她在这一令人担忧趋势中的亲身经历。推送通知陷
阅读全文『代码审计』某OA系统.NET代码审计
0x00 前言由于对ASP.NET项目不是很熟悉,所以一直没有审计过ASP.NET的源码。最近项目不是很多,于是随便找了一套手里面的源码,边审边学。0x01 文件上传漏洞通过查找上传点,发现Edit.
阅读全文一个用于检测HOST 头攻击漏洞的Burp Suite扩展插件
工具功能自动检测Host头攻击漏洞专门针对301跳转响应进行检测自动修改请求中的Host头为attack.com检测响应中的Location头是否反射Host值内置请求限流机制,避免对目标系统造成过大
阅读全文马斯克称其 X 平台遭受大规模网络攻击, IP 源自乌克兰|美一 55 岁程序员被降职后泄愤植入恶意软件,面临最高 10 年监禁
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!马斯克称其 X 平台遭受大规模网络攻击, IP 源自乌克兰3 月 11 日消息,当地时间周一早上,监测网站 Do
阅读全文马斯克推出政务机器人:用AI批量取代公务员
当一些美国公务员兴高采烈用马斯克的GSAi政务机器人提高办公效率时,很多人没有意识到这个机器人的目标是替代他们,而不是仅仅作为打杂的“实习生助手”。据《WIRED》最新报道,马斯克主导的政府效率部(D
阅读全文Java代码审计 | 一次开源商城系统
任意文件上传漏洞:管理员后台文件添加位置:数据包:POST /tmall/admin/uploadCategoryImage HTTP/1.1Host: 172.20.10.3:8080User-Ag
阅读全文一款针对Spring框架的漏洞扫描及漏洞利用图形化工具
工具介绍YYBaby_v1.0 Spring_Scan Tools一款针对Spring框架的漏洞扫描及漏洞利用图形化工具工具展示Tools:Scan:分析:工具获取https://github.com
阅读全文虚拟机逃逸!VMware高危漏洞被利用,国内公网暴露面最大;犯罪分子利用 DeepSeek 的流行度来传播木马化的 AI 客户端
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!虚拟机逃逸!VMware高危漏洞被利用,国内公网暴露面最大;VMware虚拟机逃逸漏洞正被积极利用,据统计全球近
阅读全文迪斯尼泄漏4400万条机密数据,只因员工“尝鲜”AI工具
GoUpSec点评:企业和关键基础设施中悄悄蔓延的消费级AI工具如果缺乏有效监管和控制,注定会引发大规模数据安全灾难。“AI安全”,将取代“网络安全”和“数据安全”,成为2025年CISO的头号威胁。
阅读全文某CRM代码审计之旅-多漏洞绕过与发现
文章作者:奇安信攻防社区( 中铁13层打工人)文章来源:https://forum.butian.net/share/41311►权限绕过该项目使用了shiro进行权限验证查看依赖版本,发现该版本配合
阅读全文Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。
工具介绍本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。效果如图主要功能🛡️ WAF绕过技术后缀变异:ASP/ASPX/PHP/JSP后缀混淆(
阅读全文家中摄像头暗藏隐私泄露风险,网上有人售卖卧室视频;多地苹果手机用户称使用“免密支付”遭盗刷
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!多地苹果手机用户称使用“免密支付”遭盗刷,客服:账户或被盗,及时申请拦截有望找回近日,多名苹果手机用户在网上反映
阅读全文2025年2月热门开源网络安全工具盘点
2月我们精选了一些备受关注的开源网络安全工具,这些工具在加强各种环境的安全性方面表现出色。Kunai:Linux平台的开源威胁狩猎工具Kunai 是一款开源工具,为Linux环境提供深度且精准的事件监
阅读全文记一次某开源OA白名单后缀限制下巧用系统设计getshell
原文链接:https://forum.butian.net/share/4132白名单后缀限制下巧用系统设计getshell0x01 路由情况该 OA 的 action 主要是在 webmain 目
阅读全文当心别人删了你的大模型
摘要近期针对AI基础设施的网络安全扫描发现,全球范围内存在大量未授权暴露在公网的Ollama大模型服务器。这些服务器不仅暴露了模型管理接口,还存在敏感操作未授权访问风险。本文通过实证研究揭示了该问题的
阅读全文【零基础高薪直通车】渗透测试工程师训练营
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!当勒索软件一夜瘫痪企业系统,当数据泄露让巨头损失上亿……你是否想过,自己可以成为那个力挽狂澜的“数字侠客”?无需
阅读全文2025年十大最危险勒索软件组织榜单
虽然2024年勒索赎金大幅回落,但2025年勒索软件卷土重来,前两个月活动显著增加。三大勒索软件组织中,BlackLock在2024年第四季度数据泄露帖子增长1425%,有望成为2025年最活跃的勒索
阅读全文『代码审计』曲折的代码审计
0x00 前言一次CTF比赛中遇到一个PHP代码审计题。赛中审计发现存在反序列化函数并以此为出发点开始寻找入口点,未果。赛后整理思路并搭建环境重新审计。0x01 环境搭建操作系统:macOS后端环境:
阅读全文XSS漏洞与SSRF漏洞的联合攻击及其综合防范机制实验平台
项目简介 📝本项目是一个用于研究XSS漏洞与SSRF漏洞联合攻击及其综合防范机制的实验平台。平台提供了独立的XSS攻击、SSRF攻击测试环境,以及两种漏洞的联合攻击测试环境,同时实现了相应的防护机制。
阅读全文