Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederfreebuf.com
FreeBuf.COM | 关注黑客与极客
Get the latest updates from FreeBuf.COM | 关注黑客与极客 directly as they happen.
Follow now 255 followers
Latest posts
Last updated 17 minutes ago
美国对委内瑞拉的军事行动引发“新一代网络战”猜测
about 13 hours ago
1月3日凌晨,一场军事行动在短短30分钟内震惊世界。美国陆军精锐“三角洲”部队在委内瑞拉首都加拉加斯成功拘捕该国总统尼古拉斯·马杜罗。但更引人关注的是行动背后的新型作战模式。美国参谋长联席会议主席丹·凯恩将军证实,行动涉及网络司令部、太空司令部和各作战司令部的协同,通过“叠加不同效果”为美军部队飞入委内瑞拉“创造通道”。闪电行
FreeBuf早报 | RondoDox僵尸网络利用React2Shell漏洞劫持设备;全球超万台Fortinet防火墙受MFA漏洞威胁
about 15 hours ago
全球网安事件速递1. RondoDox僵尸网络利用高危React2Shell漏洞劫持IoT设备与Web服务器高危漏洞React2Shell被利用构建RondoDox僵尸网络,全球超9万设备受影响。攻击分三阶段演进,12月利用漏洞投递挖矿程序与Mirai变种,清除竞品并建立持久化。建议升级Next.js、隔离IoT设备
模板注入(SSTI、CSTI)揭秘:看懂这篇就够了
about 18 hours ago
什么是模板模板是一种预先设计好的文本结构,包含静态内容和动态占位符。模板引擎会用实际数据替换这些占位符,生成最终的输出内容。模板的作用模板的主要作用是分离业务逻辑和展示
前端JS随手一翻,竟拖出整站隐藏路由和API
about 22 hours ago
前言 在纯前端(JS)代码里“翻”出隐藏路由和API,其实就像做一道“代码拼图”——把散落各处的字符串、变量、注释拼成可访问的端点。下面按真实审计流程,把常用思路、工具、脚本和踩坑点一次性讲透,照着做基本能把 90% 的“暗接口”扫出来。 一、先拿到最全的 JS 打开 F12 → Network → 筛选...
Web安全中的JavaScript代码审计——寻找未授权接口的攻击入口
about 23 hours ago
引言在当今的 Web 攻防领域,前端 JavaScript(JS)代码审计正变得越来越关键。随着 Web 应用越来越依赖于单页应用(SPA)和 API 驱动架构,许多后端接口通过前端 JS 代码暴露出来。???些接口如果缺乏 proper 授权检查,就可能成为攻击者的入口点。除了常见的未授权上传(upload)和下载(download)端点,其他隐患接口包括
OSCP靶场105--ACCESS(HTB)
about 24 hours ago
攻击链21端口信息泄露---远程连接---发现系统存储了管理员凭据,判断一定有lnk文件是以管理员身份运行---搜索lnk文件及其指向的内容,确认猜想---利用已存储凭据二次反弹shell获得管理员权限的shell知识点mdb文件的读取pst文件的读取系统存储了管理员凭据时如
别乱用!下载的Skills竟成后门,聊聊Skills不为人知的安全风险
about 24 hours ago
导读 随着 Anthropic在10月发布了Claude Skills 功能,又在12月推出了Agent Skills的开放标准。Skills 被大量应用迅速采纳并深度集成到自家产品中,例如cursor、codex。这种按需扩展 AI 能力的架构正和 MCP一样,成为AI行业新宠。然而,繁荣之下暗流涌动。 什么是Skills ?...
一款可以梭哈内存马的工具
1 day ago
记录对于恶意代码查杀 小记:第一套程序 用java,采用rasp同样的方式,hook住jvm后查杀内存马,之后可能还会对无文件的agent进行操作 测试用文件放在asset文件夹 序言 java内存马技术十分成熟,基于组件的,特性的内存马类型层出不穷,基于java agent内存马的攻防逐渐成为在jvm上攻防。
深度分析MangoBleed(CVE-2025-14847)附利用工具
1 day ago
CVE-2025-14847漏洞分析 漏洞简介 类型:无认证远程堆内存泄露 危害:攻击者无需认证即可从服务器内存中提取敏感数据,可能包括数据库凭证、API密钥、会话令牌、用户数据等 漏洞原理 根源在于MongoDB的zlib网络消息压缩处理逻辑: MongoDB支持客户端发送压缩消息,攻击者
攻防视角下关于React2Shell漏洞与Next.js的漏洞利用
2 days ago
1.关于Next.js的介绍Next.js是一个流行的基于React的网页应用框架,提供服务器端渲染、静态站点生成和集成路由系统等功能。当配置为使用中间件进行认证和授权时14.2.25和15.2.3之前的版本存在授权绕过的风险。Next.js中间件组件在请求到达应用程序路由系统之前运行并用于身份验证、授权、日志记录、错误
DNSLOG、HTTPLOG无回显漏洞测试辅助平台 | 辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用
2 days ago
无回显漏洞测试辅助平台 (Spring Boot + Spring Security + Netty) 平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 主要功能 DNSLOG HTTPLOG...