绕过双因素认证至账户接管 目标服务器存在WAF，一旦进行扫描尝试，就会立即封锁IP地址，因此只能手动渗透该目标。为了保密，暂将目标网站称为’redacted.com‘，这是一个管理物联网项目、云解决方案、设备等的平台，它允许一... 2024-1-22 17:0:41 | 阅读: 287 | 收藏 | 骨哥说事 sso 小哥 攻击者 攻击 数据

又又又又被SX举报了... 2024-1-21 21:15:17 | 阅读: 18 | 收藏 | 骨哥说事

如何在H1项目中发现SSRF 发现漏洞的过程可能很漫长，但最终的结果往往是值得的～首先我会从 Hackerone 的项目中收集一些相关的业务信息，然后定期进行 Web 漏洞 和 IDOR 测试，uuid 通常会作为用户身份验证的最... 2024-1-20 19:58:53 | 阅读: 20 | 收藏 | 骨哥说事 typename 漏洞 8358

必备收藏！国外整理收集的网络安全资源 资源包括以下几类：红队渗透测试蓝队SOC恶意软件分析云安全及其它Awesome Red Team Ops【红队行动】:https://github.com/CyberSecurityUP/Awesom... 2024-1-19 15:15:0 | 阅读: 17 | 收藏 | 骨哥说事 github cloud 渗透 teaming

关于用爱发电这回事 自 2018 年我发布 VirtualXposed 以来，这 6 年里我做了不少开源或者免费的产品，用过我 App 的用户，没有千万也有百万；然而，所有这些东西都是完全免费的，我没有任何直接的经济收益... 2024-1-11 00:2:57 | 阅读: 3 | 收藏 | 骨哥说事 发电 诋毁 几条 难受 开源

组合拳法：漏洞链的艺术 概念漏洞链的过程需要一组程序，允许黑客利用应用程序内的多个漏洞/缺陷的优势来实现最大化影响，一个简单的例子就是用XSS配合Opendirect重定向，然后用XSS链接实现账户劫持，然后再从SSRF到R... 2024-1-10 12:29:46 | 阅读: 32 | 收藏 | 骨哥说事 漏洞 jsc 端口 源代码 数据

【笑哭】有人专门做了一个AI搞钱案例集 在AI时代的浪潮下，如何利用AI智能化做副业，赚取工作之余的额外收益？有国内网友“17yongai”把最近比较火的AI赚钱在Github上搞了个案例集合，该合集搜集了AI副业赚钱的相关方法、技术、工具... 2024-1-8 11:22:43 | 阅读: 35 | 收藏 | 骨哥说事 副业 github 信息 合集

如何在Epic Games上赚到$7,000赏金 今天来看看国外白帽通过将一个简单的漏洞升级为可远程触发的代码执行漏洞，如何在Epic Games赏金计划中获得了7K奖励，当然，目前该漏洞已被修复，在此次漏洞挖掘过程中，白帽小哥学到了两样东西：始终最... 2024-1-4 20:11:59 | 阅读: 8 | 收藏 | 骨哥说事 浏览器 漏洞 eof 攻击 小哥

【译】三角测量行动：最后的（硬件）谜团 作者来自卡巴斯基的Boris Larin，他与另外两位同事Leonid Bezvershenko和Georgy Kucherin在2023年12月27日的第37届混沌通信大会(37C3)上发表了题为《... 2024-1-3 13:38:9 | 阅读: 15 | 收藏 | 骨哥说事 漏洞 攻击 mmio 攻击者 dma

从Adobe的VIP赏金计划中获得近50,000美元奖励的故事 发现网络中的薄弱环节并不总是那么顺利和容易，尤其是像Adobe这样的大型公司中，国外白帽Naaash与Tirtha因受到《我在两个月内赚了 10 万美元！》视频的鼓舞和‘刺激’，决定携手合作，在202... 2024-1-2 17:57:44 | 阅读: 5 | 收藏 | 骨哥说事 仪表 仪表板 漏洞 proofhq workfront

【$500】如何将DOM XSS升级为存储型XSS 今天来详细介绍国外白帽如何使 DOM XSS 升级为持久的存储型 XSS。白帽小哥一般会先打开Burp Suite Pro，然后运行Burp Browser，然后提前对H1、BugCrowd和Inti... 2023-12-25 16:28:15 | 阅读: 11 | 收藏 | 骨哥说事 小哥 payload invader 绕过 阻拦

突破语言屏障：8款工具助你轻松将外文文档翻译成中文 文章首发于个人博客：https://mybeibei.net，点击最下方“阅读原文”可直接跳转查看。数字化时代，无论是工作还是生活，往往会遇到处理各种外文文档，而将这些文档迅速而准确地翻译成中文成了很... 2023-12-24 16:19:33 | 阅读: 13 | 收藏 | 骨哥说事 浏览器 calibre deepl 字幕 谷歌

从Self XSS 到账户接管 今天分享一位白帽小哥在H1上将一处Self XSS升级为账户接管的漏洞过程。由于披露原则，目标网站以下统称为“https://reacted.com” 。在对目标站点进行测试时，有一个登录功能，像往常... 2023-12-22 15:0:4 | 阅读: 9 | 收藏 | 骨哥说事 x22 myform ngrok payload x0a

效率工具再+1 背景介绍还记得几个月前骨哥发过一篇关于ChatDOC的文章吧？但是由于免费版的诸多限制以及访问限制，用起来总是别别扭扭，于是就在前两天，骨哥发现了一个可以完全替代并超越它的工具 -- Kimi Cha... 2023-12-21 09:58:15 | 阅读: 14 | 收藏 | 骨哥说事 kimi xlsx 甄别 前两天

最新Twitter XSS + CSRF 漏洞完整披露【附PoC】 背景介绍通过点击精心设计的链接或访问某些精心设计的网页，将允许攻击者接管受害者帐户（从而使用受害者帐户进行发帖、点赞、甚至更新个人资料、删除帐户等操作），不知道大家还记得新浪微博2011年曾受到过xs... 2023-12-20 10:31:45 | 阅读: 24 | 收藏 | 骨哥说事 攻击 子域 受害者 漏洞 受害

IOT 安全相关资料收集整合 前些年骨哥曾经做过一些 IoT 安全相关的项目，当时在Notion上做过一些整理，今天偶然间在Github上发现一位ID名为H4lo的网友将收集到的 IoT 安全相关文章、教程、资料等URL资源进行了... 2023-12-19 14:58:2 | 阅读: 7 | 收藏 | 骨哥说事 安全 漏洞 h4lo github 同学们

我的2023年macOS效率工具推荐 文章首发于个人博客：https://mybeibei.net，点击最下方“阅读原文”可直接跳转查看。2023即将走向尾声，以下是骨哥在 2023 年使用最多的十款效率工具，希望它们也能为你的工作和生活... 2023-12-18 10:43:18 | 阅读: 14 | 收藏 | 骨哥说事 远程 remote draw gemini zsh

应届毕业生的逆袭之路：“从兴趣培养到职场启程” 背景介绍上周突然收到一位粉丝（以下简称小H）发来的信息，为他感到开心的同时，顺便问了他几个问题，希望能够给那些即将毕业或刚刚踏入职场的童鞋们一些启发，经过一番整理便有了今天的这篇分享。骨哥：你是什么情... 2023-12-14 17:56:56 | 阅读: 11 | 收藏 | 骨哥说事 安全 控制 六级 踏入

利用关键 0day XXE 漏洞实现 SSRF 攻击 背景介绍在安全研究中，发现并利用漏洞往往是一个具有挑战性的过程，需要耐心、毅力和创新思维。在本文中，骨哥将分享安全人员如何在不到 6 小时发现并利用一个关键的 XXE 漏洞，进而实现对第三方软件的全面... 2023-12-13 09:30:46 | 阅读: 11 | 收藏 | 骨哥说事 漏洞 安全 攻击 自动化 ssrf

挖掘开发环境隐藏的秘密：一次 OAuth 凭证从泄露到利用的旅程 背景介绍今天和大家分享在挖掘开发环境时遇到的有趣案例，希望可以给你带来一些启发。1. 寻找目标起初，在收集了一系列目标网站的子域名后，在其中发现了一个名为 "dev.[example.com]" 的子... 2023-12-12 18:21:37 | 阅读: 8 | 收藏 | 骨哥说事 漏洞 挖掘 username guge client