不安全

2025年9月，捷豹路虎因网络攻击停产近一个月，每周损失约5000万英镑。英国政府提供15亿英镑贷款担保以缓解危机。事件引发对政府是否应为私营企业网络安全问题买单的争议，并强调预防措施的重要性。

自动化脚本发现奇怪参数导致邮件验证绕过漏洞,强调工具可能忽略逻辑缺陷,并以非正式方式分享故事。

作者通过自定义脚本发现了一个奇怪的参数,最终导致邮件验证绕过漏洞。文章强调了在漏洞挖掘中,自动化工具可能遗漏关键细节,而手动分析和逻辑推理才是发现真正漏洞的关键。

意大利将于2025年10月10日率先实施全国性人工智能法律，成为欧盟首个采取此类措施的国家。该法律设定了以人为本的AI治理框架，包括透明度、隐私和安全原则，并指定监管机构监督执行。同时引入刑事处罚以应对AI滥用，并加强儿童保护措施。

某人已掌握某人的电话号码、地址和出生日期，但希望获取其全名，并在HowToHack社区寻求帮助。该社区是一个开放的黑客社区，旨在帮助新手成长为资深人士。

这篇文章探讨了企业中红队（Red Team）、蓝队（Blue Team）和紫队（Purple Team）之间的关系及挑战。作为红队成员，作者指出在公司环境中很难保持纯粹的攻击性思维；红队的工作往往更偏向防御和协作（ Purple 或 Indigo）。作者强调持续学习和创造机会进行真正“红色”工作的必要性，并认为只有深入理解 Red 的本质才能实现 Purple 的平衡。

r/deepweb是一个Reddit社区，旨在辟谣都市传说并分享Tor深网的真实信息，同时提醒用户遵守规定，避免索要非法链接。

Discord遭遇数据泄露事件，黑客通过入侵第三方客服系统获取了部分用户的支付信息和个人身份数据。受影响用户包括与Discord客服团队互动的人群。泄露数据包括真实姓名、邮箱地址、IP地址、政府颁发证件照片及部分支付信息。Discord已采取措施隔离系统并展开调查。

攻击者通过IPSec/IKE侦察和PSK破解进入Expressway系统，利用SSH访问并结合基于主机名的sudo绕过获得root权限。

通过SSH弱密码登录受限rzsh shell环境，在分析Ruby脚本后利用反射漏洞绕过限制并执行系统命令。随后枚举本地服务发现监听端口，最终利用SUID bash payload提升至root权限。

本文介绍了一次CTF挑战中的Web应用取证任务，通过分析CMS网站目录发现隐藏在img/文件夹中的恶意PHP Web Shell（images.php），并从Apache日志中提取Base64编码的攻击命令进行解码分析，最终提取出CTF旗帜THM{sup3r_34sy_w3bsh3ll}。

文章讨论了通过攻击Web应用管理面板获取服务器控制权的方法，强调利用404.php文件植入后门并使用Metasploit和msfvenom工具实现反向shell攻击的重要性。同时提醒漏洞报告应注重独特性以脱颖而出。

文章介绍如何通过攻击Web应用管理面板获取服务器访问权限。利用404.php文件创建后门，并借助Msfvenom和Metasploit工具建立反向shell。强调漏洞报告应注重独特性，在未成功获取shell前不应轻易报告LFI漏洞。

威胁情报公司GreyNoise发现针对Palo Alto Networks登录门户的扫描活动激增，10月3日观察到近500%的增长，1300个IP地址参与其中，93%为可疑。这些活动与近期针对Cisco ASA设备的扫描相似。

当前环境出现异常，需完成验证后方可继续访问。

当前环境出现异常问题，需完成验证操作后才能继续访问相关内容或功能。

继续调查Operation Global Dagger 1中的异常行为和攻击活动，利用Microsoft Defender XDR检测恶意持续活动、执行、安全工具规避及横向移动。

作者通过转向Blind XSS成功找到漏洞并获得高回报。Blind XSS是一种存储型XSS，payload在不可见的上下文中执行（如内部面板），可能导致严重后果。

本文讲述了通过Blind XSS技术发现漏洞的过程。作者最初尝试标准XSS未果，在转向Blind XSS后成功触发内部面板或支持票证中的payload，最终获得高价值 bounty。该技术利用存储型XSS，在不可见上下文中执行payload，并在数日后通过回调确认触发，常导致高危安全问题如会话劫持和系统妥协。

作者在面试前做了充分准备，但面对五个简单问题时却暴露出理论与实践的巨大差距。