Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
Hacking就是好玩
Get the latest updates from Hacking就是好玩 directly as they happen.
Follow now 22 followers
Latest posts
Last updated 24 days ago
免费开源!ksubdomain v2.1发布
25 days ago
原创 w8ay 2025-04-12 10:10 广东 极致的爆破性能与智能预测的结合,最快的子域名爆破工具! 免费开源!ksubdomain v2.1发布极致的爆破性能与智能预测的结合,最快的子域名爆破工具最近终于更新了ksubdomain ,在新版本中ksubdomain不仅继承了超强爆破速度的基因,更融入了前沿的 域名预测 算法和 泛解析过滤...
xsscan v3.5.1 发布
about 1 month ago
原创 w8ay 2025-03-30 16:25 湖北 xsscan v3.5.1 更新了 什么是xscan根据公众号以前文章的思想,做了一款名为“xscan”的程序。可用于自动化xss扫描,适用于bugbounty等项目。实现了自动爬虫、自动发现漏洞,只需输入url 挂机即可。只需要确定漏洞赏金项目的范围(甚至只需要输入类似 *.example.com的域名),就可以实现自动化躺赚了。在星球内部多次测试迭代后,该软件已经取得了初步成功。已经帮助很多人获得了出海漏洞的第一金。阅读下面文章了解xscan的从想法到每次的更新:• 自动化获得微软漏洞赏金的经历•...
xscan反馈问卷
2 months ago
2025-03-06 22:12 广东 想统计一下xscan的使用反馈,大家有空可以填一下,最近不知道哪方面优化,为后续优化做准备,填写后可优先内测w15scan。 https://ocjgibgqtg.feishu.cn/share/base/form/shrcnJinXSJM50hfztPd6xfZGff Hacking就是好玩 xscan反馈问卷 跳转微信打开
200小时黑客挑战:如何在BugCrowd上赚取2万美元?
2 months ago
w8ay 2025-02-23 10:10 广东 在网络安全的世界里,漏洞赏金(Bug Bounty)项目就像一场高手云集的“擂台赛”,吸引着全球的白帽黑客们一显身手。今天分享一个真实的故事:一位安全研究者和他的朋友Mohammad Nikouei决定在BugCrowd上挑战一个公开的漏洞赏金项目。这是已被众多白帽高手打过的项目,目标公司知名度较高,他们也并非全职挖洞,但他们选择投入每人100小时,总计200小时,来完成这次挑战。最终获得了20,300美元的赏金。这篇文章将详细介绍他们的方法、技术细节和经验总结。文本转自:https://blog.voorivex.team/20300-bounties-from-a-200-hour-hacking-challenge#heading-reconnaissance选择赏金项目俩兄弟没把钱当成唯一目标,而是想好好玩一把“挖洞”。他们给自己定了个规矩:每人100小时,总共200小时,纯当挑战。他们觉得,盯着过程而不是光想着赏金,能让自己更有动力,哪怕遇到坑也能坚持下去。如何选择一个赏金项目?这个项目的技术栈应该和你的技能匹配,作者两兄弟倾向于选择赏金范围多,架构广泛新旧技术都有,并且有专业的应急响应团队的项目。最主要的是 todayisnew在这个项目排行榜上名列第一。如果他能够发现许多漏洞,为什么我们不能呢?不要低估自己,因为每个赏金猎人都有自己独特的思维方式来测试网站。信息收集信息收集是漏洞赏金项目的起点,作者团队在这部分采用了多种技术手段。利用证书发现资产利用 IP 进行发现利用 CSP 响应头Google...
DeepSeek本地化部署???风险!快来看看你中招了吗?
3 months ago
腾讯朱雀实验室 2025-02-18 10:05 广东 2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署,从而将AI能力引入企业内网和个人PC环境。近期腾讯朱雀实验室发现:这些广受欢迎的AI工具中普遍存在安全漏洞。如果使用不当,攻击者可能窃取用户数据、滥用算力资源,甚至控制用户设备。文本将介绍这些流行AI工具的安全问题,以及如何使用开源的AI-Infra-Guard一键检测与收敛相关风险。一、Ollama Ollama是一个开源应用程序,允许用户在Windows、Linux和macOS设备上本地部署和操作大型语言模型(LLM),受 Docker 的启发,Ollama...
DeepSeek本地化部署有风险!快来看看你中招了吗?
3 months ago
腾讯朱雀实验室 2025-02-18 10:05 广东 2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署,从而将AI能力引入企业内网和个人PC环境。近期腾讯朱雀实验室发现:这些广受欢迎的AI工具中普遍存在安全漏洞。如果使用不当,攻击者可能窃取用户数据、滥用算力资源,甚至控制用户设备。文本将介绍这些流行AI工具的安全问题,以及如何使用开源的AI-Infra-Guard一键检测与收敛相关风险。一、Ollama Ollama是一个开源应用程序,允许用户在Windows、Linux和macOS设备上本地部署和操作大型语言模型(LLM),受 Docker 的启发,Ollama...
$8000赏金实录!CSS注入窃取OAuth令牌
3 months ago
w8ay 2025-02-17 08:30 广东 字数 1686,阅读大约需 9 分钟CSS注入窃取 OAuth 令牌昨天@YShahinzadeh发文分享了他们通过css数据泄漏导致账户接管的利益,突破了DOMPurify的保护,最终拿到$8000的故事。今天写了详细的文章,也是css注入的一次真实利用,一起学习一下吧。本文转自:https://blog.voorivex.team/css-data-exfiltration-to-steal-oauth-token漏洞发现安全研究员Amir和YShahinzadeh在参与某知名漏洞赏金项目时,发现一处HTML注入点。虽然无法触发XSS攻击,但是能够注入到<style> 标签中,影响网站的css。但是当前页面上没有任何敏感信息。经过几天的努力,作者成功将其与 OAuth...
CSS注入窃取 OAuth 令牌
3 months ago
w8ay 2025-02-16 14:04 广东 昨天@YShahinzadeh发文分享了他们通过css数据泄漏导致账户接管的利益,突破了DOMPurify的保护,最终拿到$8000的故事。今天写了详细的文章,也是css注入的一次真实利用,一起学习一下吧。本文转自:https://blog.voorivex.team/css-data-exfiltration-to-steal-oauth-token「漏洞发现」安全研究员Amir和YShahinzadeh在参与某知名漏洞赏金项目时,发现一处HTML注入点。虽然无法触发XSS攻击,但是能够注入到<style>; 标签中,影响网站的css。但是当前页面上没有任何敏感信息。经过几天的努力,作者成功将其与 OAuth 配置错误结合起来,泄露了受害者的 OAuth 令牌,并两次报告了该漏洞(针对两个不同的端点),并因此获得了 2×4850 美元的奖励。在我之前的案例中也有类似css注入的例子:【自动化漏洞赏金bugbounty和xscan扫描器总结】https://mp.weixin.qq.com/s/A6Kjej2pfcCjuY7qey5irw?token=1246607863&amp;lang=zh_CN情况和他类似,能控制style中内容,但是由于尖括号被转义,无法xss,只能通过css语法做做钓鱼之类的。所以更应该好好看看这篇文章,如何提升漏洞的影响。利用过程CSS数据泄漏首先,为什么有人会使用...
帮朋友招聘 关键词:成都 安全开发 golang easm 扫描器
7 months ago
2024-10-16 13:31 广东 社招或实习均可 Go 高级安全研发岗位 薪资范围: 15–25K 岗位职责 1. 参与公司安全扫描器相关产品的研发和维护 2....
帮朋友招聘 关键词:成都 安全开发 golang easm 扫描器
7 months ago
2024-10-16 13:31 广东 社招或实习均可 Go 高级安全研发岗位 薪资范围: 15–25K 岗位职责 1. 参与公司安全扫描器相关产品的研发和维护 2....
OpenAI o1的安全测试
8 months ago
w8ay 2024-09-14 00:04 北京 昨天OpenAI 正式公开一系列全新 AI 大模型,新模型可以实现复杂推理,解决比此前的科学、代码和数学模型能做到的更难的问题。在之前测试了问题, 几乎没有模型能够回答包括gpt4,但是如果让gpt4写代码解决这个问题,它能够运行。一个密码锁是三位,有大写字母组成。输入ABC,其中一个号码正确,而且位置正确。输入AEF,其中一个号码正确,但位置不正确。输入CKA,其中两个号码正确,但位置都不正确。输入DEB,没一个号码正确。输入BDK,其中一个号码正确,但位置不正确。请问正确密码是多少?今天用新的gpt o1模型测试,相比之前,gpt在经过思考后就能给出答案。同时还发布了一篇文章讲述了进行的安全工作,包括外部红队测试、前沿风险评估,以及为应对关键风险领域而内置的缓解措施的概述:https://cdn.openai.com/gpt-4o-system-card.pdf 本文的内容来自这篇论文。新模型o1的原理猜测OpenAI 官方说...
OpenAI o1的安全测试
8 months ago
w8ay 2024-09-14 00:04 北京 昨天OpenAI 正式公开一系列全新 AI 大模型,新模型可以实现复杂推理,解决比此前的科学、代码和数学模型能做到的更难的问题。在之前测试了问题, 几乎没有模型能够回答包括gpt4,但是如果让gpt4写代码解决这个问题,它能够运行。一个密码锁是三位,有大写字母组成。输入ABC,其中一个号码正确,而且位置正确。输入AEF,其中一个号码正确,但位置不正确。输入CKA,其中两个号码正确,但位置都不正确。输入DEB,没一个号码正确。输入BDK,其中一个号码正确,但位置不正确。请问正确密码是多少?今天用新的gpt o1模型测试,相比之前,gpt在经过思考后就能给出答案。同时还发布了一篇文章讲述了进行的安全工作,包括外部红队测试、前沿风险评估,以及为应对关键风险领域而内置的缓解措施的概述:https://cdn.openai.com/gpt-4o-system-card.pdf 本文的内容来自这篇论文。新模型o1的原理猜测OpenAI 官方说...