不安全

文章描述了一个团队协作平台的漏洞测试过程。作者在测试聊天功能中的文件上传时发现，通过篡改上传请求中的file_url参数，可以捕获用户敏感信息如IP地址、操作系统版本和所在城市等。该漏洞可能导致用户隐私泄露，对团队安全构成威胁。

2017年5月的WannaCry勒索软件攻击揭示了Windows系统的漏洞，并展示了其快速传播和加密文件的能力。通过逆向工程分析，揭示了其利用EternalBlue漏洞、网络传播机制、持久化技术和内置 kill switch 的工作原理。

文章介绍了一种通过C++编写自定义Shellcode的方法，用于绕过高-tech安全系统检测。该方法利用Windows内存结构（如PEB和TEB）定位Kernel32.dll，并手动解析其导出表以获取GetProcAddress函数地址。通过将字符串编码为Hex格式存储在Shellcode中，并利用GetProcAddress动态调用其他API函数（如LoadLibraryA），可以实现更隐蔽的恶意功能。文章还提供了一个反向shell的完整示例代码，并强调了自定义Shellcode在灵活性和隐蔽性方面的优势。

文章介绍了如何通过多种技术手段（如DNS侦察、子域名枚举、网络爬虫和WHOIS查询）发现隐藏的真实服务器IP地址，绕过云WAF保护以进行安全测试或漏洞挖掘。

文章介绍如何发现隐藏的服务器来源，通过结合多种网络安全工具和技术（如DNS侦察、网络扫描等），绕过云WAF保护，掌握关键的第一步——原服务器发现。

作者测试了一个加密货币平台的安全性，发现了缓存欺骗和访问控制漏洞，并成功复现了问题。尽管报告了漏洞但因重复未获奖励，对平台感到失望但仍坚持寻找漏洞。

一位安全研究人员测试加密货币平台时发现缓存欺骗和访问控制漏洞，并成功利用接触ID绕过限制。尽管报告被标记为重复且修复延迟，他仍坚持漏洞挖掘。

作者通过目录暴力破解发现HP打印机未受保护的管理页面，可直接访问并修改网络设置、添加联系人或切断网络连接，最终报告漏洞获700美元奖励。

作者通过目录暴力破解发现HP打印机未受保护的管理页面,可直接访问并控制打印机设置,最终获得$875奖励。

通过在URL末尾添加.css等扩展名，利用服务器与缓存层之间的通信漏洞，将用户的敏感金融数据缓存到公共缓存中，从而实现未授权访问。

文章描述了一种Web Cache Deception（WCD）攻击，通过在URL末尾添加.css等文件扩展名，欺骗系统将敏感数据缓存到公共缓存中，从而获取用户的财务数据。该漏洞利用了服务器与缓存层之间的通信问题，并成功获得了$4000的漏洞赏金。

文章描述了三种级别的跨站脚本（XSS）攻击测试：低级通过直接注入``标签触发弹窗；中级利用大小写混合绕过黑名单过滤；高级使用``标签的`onerror`事件绕过正则表达式过滤。

Adwaith分享了他在TryHackMe平台上完成Biohazard CTF挑战的详细过程。从端口扫描到漏洞利用，再到解码Base64、ROT13等加密信息以获取旗帜（flag），并最终完成挑战。

文章介绍了OSINT（开放源情报）的概念及其重要性，强调通过合法和道德的方式利用公开数据进行分析。内容涵盖OSINT的基本定义、常用术语、工具（如搜索引擎、元数据提取工具）、匿名化方法及安全伦理指南，并鼓励读者通过实践项目提升技能。

JavaScript文件是现代网络应用的核心，负责客户端逻辑、API连接和数据获取。然而，它们也是黑客攻击的目标，常隐藏敏感信息。本文作者Abhijeet Kumawat作为赏金猎人，在其系列中深入探讨了JS文件的安全风险及其重要性。

欧盟因谷歌广告垄断罚款29.5亿欧元，指控其偏袒自家服务并扭曲市场。特朗普威胁启动贸易调查回应欧盟对美国科技公司的处罚。

文章探讨了机器学习与人工智能的发展历程，重点介绍了神经网络和反向传播算法的历史及其对训练复杂模型的贡献，强调了这些技术在推动现代科技中的重要作用。

一个开放的黑客社区，旨在帮助新手成长为专家，提供问答和学习资源，并邀请加入Discord群组进行交流。

美国联邦贸易委员会（FTC）主席要求谷歌解释为何Gmail拦截共和党支持者的邮件而放行民主党支持者的类似内容。专家指出，共和党筹款平台WinRed的邮件因发送方式更符合垃圾邮件特征而被拦截更多。

r/deepweb是一个Reddit社区，旨在辟谣都市传说并分享来自Tor深网的真实可验证信息。成员在线讨论并提供信息来源。