TikTok最近披露的一处存储型XSS漏洞 通过向朋友发送视频时使用的文本，发现存储型跨站脚本攻击(XSS)，该漏洞会导致用户会话劫持或客户端攻击。本文分享来自名为 Aidilarf_2000 白帽子。他在稍早前还发现了 TikTok 的其它两... 2022-11-30 11:8:58 | 阅读: 20 | 收藏 | 骨哥说事 漏洞 小哥 hackerone 攻击 aidilarf

人物故事-Carmack【语音版】 说明：今天尝试用微软语音AI将之前写的人物故事做了转换合成，对于不喜欢看文字的朋友，可以直接点击播放来听，如果你觉得还不错的话，不妨点个赞，也许后续会考虑以这种形式创作更多的图文+语音的互联网人物（大... 2022-11-25 16:25:25 | 阅读: 13 | 收藏 | 骨哥说事 大神 故事集 carmack

【$6580】GitLab最新披露的一处XSS漏洞 最近GitLab在hackerone平台上公开披露了一处存储型XSS漏洞，该漏洞发现于今年的5月份，让我们来看看这个漏洞是如何被触发的。漏洞复现：复现步骤：1、在现有项目或创建新项目中，添加包含以下内... 2022-11-16 14:41:36 | 阅读: 20 | 收藏 | 骨哥说事 漏洞 gl stage 信息 gitlab

Life is short... 今天不写技术分享文章了，来碗鸡汤，不知道各位顶不顶得住。事情是这样的，大概几个月前某位90后同事买了滑板（双翘）来玩，并邀请我加入一起玩，在看了一些滑板的视频后，发现总是要用脚蹬来蹬去的助力，总觉得太... 2022-11-10 10:49:8 | 阅读: 13 | 收藏 | 骨哥说事 滑板 冲浪 来得及 陆地 来得

$23K：验证绕过+文件上传+任意文件覆盖 今天的分享来自国外h4x0r_dz的白帽子，这是他在不久前发现的漏洞，相当有趣，因为目前还未获得披露许可，以下暂且以test.com作为目标替代。白帽小伙儿在信息收集和漏洞挖掘过程中，发现了一处管理界... 2022-11-4 06:27:5 | 阅读: 33 | 收藏 | 骨哥说事 漏洞 小伙儿 小伙 realm cloudfront

jQuery XSS Payloads：CVE-2020-11023、CVE-2020-11022、CVE-2019-11358 https://github.com/cve-sandbox/jquery 2022-10-31 09:5:7 | 阅读: 7 | 收藏 | 骨哥说事

【$10,000】绕过GitHub HTML标签过滤 几个月前，白帽小哥Saajan Bhujel正在无聊的刷着 Twitter ，突然间，来自GitHub 的一条推文吸引了他的注意，Tweet 是关于 GitHub 的新功能，它提供了通过 MathJa... 2022-10-28 09:43:20 | 阅读: 18 | 收藏 | 骨哥说事 github 小哥 mathjax 漏洞 payload

来说说你最常用的子域探测工具 骨哥说事... 2022-10-19 08:17:31 | 阅读: 9 | 收藏 | 骨哥说事 收录于 合集

国外一些优秀的CTF平台推荐 1800 多个实验室！涵盖 Windows 安全、云安全、密码破解、逆向工程等等。我强烈推荐这个平台！https://attackdefense.com/2、CryptoHack“一个有趣的、免费的学... 2022-10-14 09:22:40 | 阅读: 28 | 收藏 | 骨哥说事 安全 黑客 vulnhub 网络 漏洞

这些开源工具我都帮你们整理好了【第三篇】 网络扫描类：1、bass从 ASN 收集所有持久 DNS 服务器，并且在多个提供商的情况下合并他们的名称服务器，最终将它们与过滤后的 public.txt 列表一起添加，以便为指定目标提供最大数量的解... 2022-10-13 09:1:24 | 阅读: 30 | 收藏 | 骨哥说事 github 端口 网络

这些开源工具我都帮你们整理好了【第二篇】 1、aiodnsbrute使用 asyncio 异步暴力爆破域名https://github.com/blark/aiodnsbrute2、amassOWASP Amass 项目使用开源信息收集和主动... 2022-10-12 10:42:1 | 阅读: 33 | 收藏 | 骨哥说事 github 子域 漏洞 安全 python

这些开源工具我都帮你们整理好了【第一篇】 漏洞扫描类：1、Bypass-403403 bypasshttps://github.com/daffainfo/bypass-4032、Commix自动检测和利用命令注入漏洞https://gith... 2022-10-11 10:43:16 | 阅读: 21 | 收藏 | 骨哥说事 github 漏洞 扫描器 子域 注入

绕过 CSP 保护，在Microsoft Teams 上实现XSS攻击 2021 年在 Gais Cyber Security 工作早期阶段的白帽小哥突然接到经理打来的电话，电话那端兴奋地说道 “我认为 Microsoft Teams 存在漏洞，让我们一起来看看吧！”，于... 2022-10-10 10:26:49 | 阅读: 14 | 收藏 | 骨哥说事 漏洞 小哥 microsoft 贴纸 告终

目录索引，特斯拉支付了我 $10,000 奖励 今天的故事来自一位名为redteamer的白帽子，他白天在红队工作，执行渗透测试。晚上的它喜欢参与漏洞赏金计划和计算机安全研究。很多人对漏洞赏金感兴趣，但他们发现总是找不到任何东西，白帽小哥希望他的成... 2022-10-9 09:50:7 | 阅读: 27 | 收藏 | 骨哥说事 bigfile 小哥 漏洞 赏金 filespath

CVE可用EXP收集： https://in.scanfactory.io/cvemon.html 2022-10-8 16:28:42 | 阅读: 16 | 收藏 | 骨哥说事

多多留意hidden参数，有时往往会有惊喜哦～ 2022-9-29 17:5:56 | 阅读: 5 | 收藏 | 骨哥说事

【$500】HackerOne 最近公开披露的一个漏洞 Hackerone 最近公开披露了一个HTML注入漏洞，漏洞的发现者ID为mega7，漏洞的实现并不困难，攻击者能够将HTML代码注入到app.qualified.dev的Name字段，从而实现受害者... 2022-9-20 08:0:35 | 阅读: 20 | 收藏 | 骨哥说事 漏洞 注入 qualified 受害 受害者

PEbear 开源 懂的自然懂，转需：PE-bear 是一个多平台的 PE 文件逆向工具，其目标是为恶意软件分析工程师提供快速灵活的“第一视图”，稳定且能够快速处理格式错误的 PE 文件。https://github.c... 2022-9-19 16:8:28 | 阅读: 15 | 收藏 | 骨哥说事 bear 一个多 逆向 github

嘿～借一部说话！ 最近朋友圈里被一部网络安全有关的国产网剧刷屏了（也是，毕竟网络安全周了嘛），瞟了一个片段还有几个截图，那段CIXP的片段尬的我双脚足够抠出一间三室两厅了。骨哥自认为是一个比较典型的IT宅男，时不时也会... 2022-9-14 10:5:9 | 阅读: 15 | 收藏 | 骨哥说事 安全 网络 黑客 一集

Hacking APIs:Workshop Corey Ball （科里·鲍尔）简介：@hAPI_hacker12 年以上 IT 与 网络领域网络安全咨询高级经理Hacking APIs 作者Apisec.ai 布道者APIsec 大学 (ap... 2022-9-1 09:51:8 | 阅读: 23 | 收藏 | 骨哥说事 apisec 网络 corey ball mitmproxy