unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
️♂️ The Bucket That Shouldn’t Exist: How I Got Full Access to 50GB+ of Sensitive Government Data
一位安全研究人员通过自研工具扫描政府网站的云存储桶,发现了多个配置错误的S3桶,其中包含超过100万份敏感文件和完全读写访问权限。报告后得到修复和感谢。...
2025-7-6 06:24:7 | 阅读: 18 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
cloud
buckets
bucket1
walked
Call of Duty: WWII Is Hacked — Game Pass Players Hit by Dangerous RCE Exploits
《使命召唤:二战》在Xbox Game Pass上线后出现严重安全漏洞,黑客利用远程代码执行漏洞在多人游戏中入侵其他玩家电脑,发送记事本消息甚至不当内容。该版本游戏采用点对点网络而非专用服务器,导致主机易受攻击。...
2025-7-6 06:22:2 | 阅读: 15 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
duty
players
wwii
multiplayer
pcs
Security Information and Event Management (SIEM)
现代SIEM系统从简单的日志收集工具发展为强大的数字调查工具,能够高效处理大量事件数据并快速识别可疑活动。通过分析来自防火墙、DMZ和内部网络的安全事件数据,SIEM系统帮助组织及时发现和应对潜在威胁。...
2025-7-6 06:21:58 | 阅读: 15 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
security
network
humans
stage
finds
Why Threat Modeling Is Security’s Compass
文章探讨了威胁建模在网络安全中的重要性及其应用。通过不同的框架(如STRIDE、PASTA、TRIKE和LINDDUN),团队可以在开发前识别潜在风险并提升安全性。这些方法不仅适用于大型企业,也适合不同规模的组织,并通过结合设计审查和自动化工具来实现更有效的威胁管理。...
2025-7-6 06:21:55 | 阅读: 25 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
modeling
security
stride
threats
pasta
Web Monitoring Tools For OSINT Investigation
网络监控工具对OSINT调查员至关重要,用于系统收集、分析和实时跟踪公开信息。这些工具提供实时警报以应对威胁,并帮助企业快速响应数据泄露或声誉风险。它们是现代OSINT工作的基础。...
2025-7-5 02:46:58 | 阅读: 18 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
monitoring
emerging
phishing
The Password I Never Reset — And Still Got In
文章揭示了一个安全漏洞:通过“忘记密码”链接可绕过密码和MFA直接登录账户。...
2025-7-5 02:46:50 | 阅读: 16 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
clicked
security
cancel
supposed
logout
Just Wanted to Be a Driver, Ended Up Discovering a Time Capsule
用户在注册东南亚某打车应用时,发现其手机号已被他人注册,并显示了一个旧的Yahoo邮箱账户信息。用户从未注册过司机账户,也未使用过该邮箱。这表明该应用可能保留了早期用户的旧数据。...
2025-7-5 02:46:44 | 阅读: 18 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
yahoo
alibaba
ali
unearthed
lord
Just Wanted to Be a Driver, Ended Up Discovering a Time Capsule
用户尝试注册东南亚某打车应用时,发现自己的手机号已被占用,并显示了一个旧的Yahoo邮箱账户。这表明该平台可能存在数据管理问题和用户信息泄露风险。...
2025-7-5 02:46:44 | 阅读: 16 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
yahoo
alibaba
motorbike
southeast
hustle
Behind the Scenes: How Pre-Prod Leaks Led Me to Prod Secrets
一位安全研究人员在预生产环境中发现敏感信息泄露问题。通过工具扫描和Google搜索,识别出 staging 服务器暴露了生产环境的机密数据。案例强调了即使在非正式环境中也需重视安全防护的重要性。...
2025-7-5 02:46:37 | 阅读: 19 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
prod
cuddling
birthday
feast
sleepy
Behind the Scenes: How Pre-Prod Leaks Led Me to Prod Secrets
研究人员利用工具扫描预生产环境时发现 staging 服务器意外暴露了真实生产数据。...
2025-7-5 02:46:37 | 阅读: 16 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
prod
cuddling
kid
dinner
pillows
Why Multi-Factor Authentication Still Isn’t Enough
一家公司遭遇攻击,尽管所有用户都启用了多因素认证(MFA),但攻击者仍轻松入侵。MFA不再是万能的解决方案,网络犯罪分子已转向利用人性和技术漏洞,而非传统密码攻击。...
2025-7-5 02:46:30 | 阅读: 15 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
passphrase
hear
breached
gaps
The Rise of Ransomware-as-a-Service
网络犯罪分子通过"勒索软件即服务"(RaaS)模式迅速扩张,使普通罪犯也能轻松发起大规模攻击。2024年 ransomware 攻击激增41%,损失超2650亿美元。...
2025-7-5 02:46:24 | 阅读: 20 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
ransomware
crime
airbnb
skilled
scratch
Quantum Computing vs. Current Encryption: The Ticking Time Bomb
量子计算即将打破现代加密基础。传统加密依赖复杂数学问题,但量子计算机可迅速破解,威胁通信、金融等领域安全,多数机构尚未准备就绪。...
2025-7-5 02:46:18 | 阅读: 16 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
encryption
classical
billions
mix
Incident Response: What It Really Means
文章区分了“事件”与“事故”的概念:事件是日常活动记录(如日志、登录),通常无需特别关注;而事故则指对业务造成实际影响的事件(如系统故障、数据泄露)。通过生活化比喻强调需快速准确处理真正紧急的情况。...
2025-7-5 02:46:12 | 阅读: 21 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
hear
knock
deserves
quiet
coffee
$2,000 Bounty: Breaking Capability Enforcement in CosmWasm Contracts
安全研究员发现CosmWasm智能合约平台存在重大漏洞,允许攻击者绕过能力限制执行被禁止操作。该问题源于简单的能力模型实现和误导性文档,攻击者只需在编译时省略特定字符串即可利用此漏洞。...
2025-7-5 02:46:4 | 阅读: 19 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
security
boundaries
cosmos
attackers
cosmwasm
$2,000 Bounty: Breaking Capability Enforcement in CosmWasm Contracts
区块链智能合约的安全边界常依赖于声明式模型。研究者发现CosmWasm的能力模型存在重大漏洞,攻击者可通过编译时省略特定字符串绕过限制,执行被禁操作。该漏洞源于简单实现和误导性文档,凸显能力执行环境的安全隐患。...
2025-7-5 02:46:4 | 阅读: 15 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
security
cosmos
cosmwasm
boundaries
attackers
Enumerating Subdomains With Python
文章探讨了子域名枚举在安全评估中的重要性及其工具技术。通过Python脚本实现DNS查询与暴力枚举功能,揭示目标组织的数字架构与技术栈。然而,该工具在扩展性和高级功能方面存在局限性。...
2025-7-5 02:45:57 | 阅读: 16 |
收藏
|
InfoSec Write-ups - Medium - infosecwriteups.com
subdomain
security
assessments
concurrent
$500 Bounty: Subdomain Takeover on live.firefox.com via Unclaimed Fastly CNAME
文章描述了因未注册CDN条目导致的子域名接管风险,具体为firefox.com子域名live.firefox.com因CNAME指向Fastly但未配置,被研究人员接管并可能用于恶意攻击,凸显了此类技术问题对网络安全的重大威胁。...
2025-7-5 02:45:21 | 阅读: 17 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
subdomain
fastly
cname
weaponized
misstep
How I Bypassed Account Verification with a Simple Host Header Trick
文章描述了一种严重的安全漏洞——Host Header Injection攻击,该漏洞允许攻击者通过篡改HTTP请求中的Host头来生成指向其控制域的链接或重定向。这种漏洞可能导致令牌劫持、内部访问暴露、开放重定向以及验证和认证绕过等严重后果。...
2025-7-5 02:44:32 | 阅读: 18 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
attacker
bypass
unchecked
belongs
Not-So-Private Parts: How Public Buckets Spilled Internal Dashboards
作者通过运行资产发现工具和网络爬虫,在目标网站上发现了暴露的AWS S3存储桶,进而访问了私人仪表盘和敏感商业文档,并成功获得了高价值漏洞赏金。...
2025-7-5 02:44:19 | 阅读: 19 |
收藏
|
Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com
copilot
cold
ancient
boredom
dashboards
Previous
3
4
5
6
7
8
9
10
Next
