本文详细分析了Ahold Delhaize USA身份管理系统中存在的严重安全漏洞,包括服务器端模板注入、Perl代码执行等技术细节,展示了如何通过漏洞获取/etc/passwd文件,并披露了该漏洞可能已存在18年的时间线。
本文通过视频教程详细讲解API黑客攻击的两种最常见漏洞:失效的授权和服务器端请求伪造(SSRF),帮助初学者掌握API安全测试的基本方法和技巧,包含实际演示和资源链接。
本文探讨AI时代网络安全面临的规模化危机,介绍Synack推出的自主红队代理Sara和主动攻击平台,分析人类与AI协同防御的新模式,以及如何将漏洞修复时间从数月缩短到分钟级。
本文详细分析了HEMA网站存在的反射型XSS漏洞,从侦察发现到payload构造全过程,包含绕过安全限制的技巧,最终实现凭证窃取并通过Slack通道接收泄露数据的技术细节。
本文通过拆解分析电子烟设备,深入探讨物联网硬件安全技术。内容涵盖硬件逆向工程实践,并介绍TCM安全学院的物联网安全课程,帮助初学者入门硬件渗透测试领域。
本文介绍了SOC 201中级蓝队课程,专注于威胁狩猎和事件响应技术。课程包含结构化威胁狩猎方法、恶意软件检测技术等内容,适合希望提升网络安全防御技能的专业人士学习。
本文详细记录了在fasteditor.hema.com发现的盲注SQL注入漏洞,包含漏洞发现过程、利用技术分析、自定义payload构造,以及通过时间延迟技术成功提取数据库用户名的完整技术细节。
本文详细披露了荷兰医疗保险公司VvAA门户网站存在的两处IDOR漏洞,攻击者可借此访问13万医疗工作者的敏感保险文件,包括包含勒索软件赔付条款的网络风险保险单。
本文详细分析了FileSender系统中存在的未授权服务器端模板注入漏洞(CVE-2024-45186),该漏洞可导致MySQL数据库凭证、S3存储密钥等敏感配置信息泄露,进而可能暴露用户上传文件。影响包括荷兰多所大学在内的教育机构。
本文介绍了Bugcrowd与安全研究员合作总结的最常见且易发现的漏洞类型,详细讲解了这些漏洞的利用方法,并提供了注册Bugcrowd平台的链接,帮助安全研究人员快速入门漏洞挖掘领域。