中国学者《科学》论文接受率为北美同行 1/4
研究显示,《Science》及其子刊论文接受率为6.1%,中国学者仅为2.3%,美国和加拿大为8.3%。机构知名程度、共同作者数量及学科主题显著影响接受率。知名机构及多作者论文更易被接受。编辑初筛对稿件录用影响重大。
不安全
☠️picoCTF Web Exploitation: Local Authority
2 months 2 weeks ago
本文描述了一个Web Exploitation CTF挑战的解决过程,包括访问登录页面、输入假凭证以触发后台请求,并通过观察和工具分析来发现隐藏的信息。
☠️ picoCTF 2024 — “Bookmarklet” Web Exploitation Challenge
2 months 2 weeks ago
本文介绍了一个picoCTF中的Bookmarklet挑战,通过使用JavaScript bookmarklets和浏览器控制台脚本获取隐藏flag。虽然任务简单,但涉及浏览器安全警告,提醒用户注意实际操作中的安全问题。
Authorization Bypass: The Simple SSO Mistake
2 months 2 weeks ago
单点登录(SSO)因身份验证配置错误存在重大安全漏洞。攻击者可利用相同邮箱绕过验证机制,导致账户接管和跨公司数据泄露。
Authorization Bypass: The Simple SSO Mistake
2 months 2 weeks ago
文章指出单点登录(SSO)存在配置错误导致安全漏洞。攻击者可利用相同邮箱地址绕过身份验证,访问其他公司数据。该漏洞源于身份提供商未验证邮箱所有权,属于逻辑缺陷,影响严重。
The Emoji That Broke the AI (into 27 Pieces)
2 months 2 weeks ago
表情符号可能成为攻击AI模型的工具。AI通过将文本转换为数值块(tokens)来理解内容,而表情符号作为特殊字符可能导致模型解析错误,引发数据泄露等安全问题。
Tooling via Browser Automation
2 months 2 weeks ago
文章介绍了使用Selenium进行浏览器自动化的方法及其在网络安全中的应用,包括配置浏览器选项、使用反检测技术以及编写暴力破解脚本。
Tooling via Browser Automation
2 months 2 weeks ago
作者Chetan Chinchulkar分享了如何利用Selenium进行浏览器自动化攻击,包括绕过CAPTCHA、CSRF保护和动态数据提取的技术。通过配置浏览器选项、使用隐身模式和编写Python脚本,演示了如何模拟用户行为并执行暴力破解攻击以获取敏感信息。
Terrier Cyber Quest 2025 — Brief Write-up
2 months 2 weeks ago
文章描述了一次Boot2Root CTF比赛的详细过程。参与者通过nmap扫描发现Web服务器并使用ffuf进行目录爆破,找到存在SSTI漏洞的页面以获取初始访问权限。随后分析隐藏数据和 pcapng 文件以获取 SSH 凭证并登录到 flower 用户。通过修改 daemon.py 脚本实现 leaf 用户提权,并利用 challenge 二进制文件中的栈溢出漏洞进一步提升至 stem 用户权限。最后通过对 final 二进制文件进行格式化字符串攻击和 ROP 链构造获得 root 权限并完成比赛任务。
Terrier Cyber Quest 2025 — Brief Write-up
2 months 2 weeks ago
文章描述了从初始访问到完全控制服务器的过程:通过nmap扫描发现Web服务器并使用ffuf模糊测试找到漏洞;利用SSTI漏洞获取 foothold;通过修改脚本获得 leaf 用户权限;分析二进制文件并利用ROP链获取 stem 用户权限;最后通过格式化字符串漏洞和栈溢出攻击获取 root 权限并获得四个 flag。
“The Registration Flaw That Almost Got Missed: Hunting Weak Authentication Links”
2 months 2 weeks ago
文章指出某些应用通过HTTP而非HTTPS发送验证或重置链接,导致敏感令牌暴露在不安全的网络环境中。攻击者可借此劫持用户账户。尽管登录页面使用HTTPS看似安全,但邮件中的HTTP链接却成为关键漏洞。
“The Registration Flaw That Almost Got Missed: Hunting Weak Authentication Links”
2 months 2 weeks ago
文章指出许多应用在发送验证或重置链接时使用HTTP而非HTTPS,导致敏感令牌暴露。即使登录页面使用HTTPS,攻击者仍可通过截获邮件获取令牌并接管账户。
c0c0n CTF 2025 Writeup
2 months 2 weeks ago
团队在C0C0N CTF中后期加入,在24小时内迅速应对API漏洞、DNS隧道等挑战,最终获得第20名。通过分析日志和流量捕获,发现攻击者利用路径遍历获取数据库凭证,并通过DNS隧道传输加密数据。最终提取出解密密钥并成功破解。
The $40,000-an-Hour Outage That Changed How We Think About AI
2 months 2 weeks ago
实时欺诈检测API因硬件资源问题故障,导致每分钟损失1.5万美元。团队错误地通过增加GPU节点应对,最终发现是架构设计问题,经过6个月优化,实现每秒处理10万次请求,推理成本降低83%。
美国国防部有24.5万网络安全人员
2 months 2 weeks ago
当前环境出现异常提示,请完成验证后继续访问。
苹果称欧盟数字市场法案对用户造成有害影响应当废除 欧盟表示废除是不可能的
2 months 2 weeks ago
苹果批评欧盟数字市场法案导致新功能延迟推出、第三方商店出现成人应用及用户面临更高欺诈风险。欧盟则表示不会废除该法案,并强调其旨在限制大型科技公司影响力、促进公平竞争。
苹果回应iPhone 17系列展示机划痕严重 苹果称是支架材料问题可以擦干净
2 months 2 weeks ago
苹果回应iPhone 17等机型背面划痕问题,称系零售店MagSafe支架材料转移所致,可通过清洁去除,并计划更换磨损支架。同时指出部分社交媒体图片可能为伪造。
在内部调查发现监控证据后 微软宣布禁用以色列国防部使用的云和AI服务
2 months 2 weeks ago
微软因内部审查发现大规模监控证据,宣布禁用以色列国防部使用的Microsoft Azure和AI服务。此前《卫报》报道称以色列8200部队利用微软云服务存储加沙居民通话记录进行情报分析。微软重申技术不得用于大规模监视平民,并未访问存储数据。
ISC Stormcast For Friday, September 26th, 2025 https://isc.sans.edu/podcastdetail/9630, (Fri, Sep 26th)
2 months 2 weeks ago
ISC Stormcast播客于2025年9月26日发布,值班处理员为Johannes Ullrich,威胁级别为绿色。内容涉及网络安全动态及课程信息:《应用安全:保护Web应用、API和微服务》将于10月4日至9日在丹佛举办。
Cloudflare抵御创纪录DDoS攻击:峰值达22.2 Tbps、106亿PPS
2 months 2 weeks ago
Cloudflare最近成功抵御了一次创纪录的DDoS攻击,峰值达22.2 Tbps和106亿PPS,持续40秒。此次攻击或由AISURU僵尸网络发起,该网络已感染全球超30万台设备。
Checked
14 minutes 48 seconds ago
unSafe.sh - 不安全
不安全 feed