网络安全

IV. 提取和分析.ASAR 文件 了解了在操作系统上安装和识别基于 Electron 的应用程序的常见过程之后，我们现在将探讨提取 Electron 应用程序以收集有用的测试信息所涉及的常见步骤概述

** 一、引言 跨平台桌面应用程序开发的发展带来了一系列独特的挑战，主要在于确保在 Windows、macOS 和 Linux 等各种操作系统上功能和用户体验的一致性。从技术角度来看，实现这种一致性对

“请注意，请注意，请注意” 黑客们，大家好！ 今天，我很高兴与大家分享我在公共 HackerOne 漏洞赏金计划 (BBP)中发现的一个 逻辑漏洞， 该漏洞导致报告所有者权限被降级，并可能失去管理控制

Hacktivity 社区动态：Hackerone 经过八年的漏洞赏金狩猎——包括疫情期间，这是我唯一的收入来源——我注意到一件令人沮丧的事情：大多数“入门”指南仍然只是告诉人们如何创建 Hacker

大家好，我是 Milad！你们可能知道我叫 Eulex。 让我们开始吧！🚀 如果你想学钓鱼，就读读这篇文章。否则……💸 去年，我读到了一

👋 大家好，安全极客们！ 有时，最大的漏洞隐藏在最基本的功能中。最近，我在测试一个 Web 应用程序时偶然发现了一个严重的权限提升错误 — 这都是因为系统对用户输入的信任度有点高。 权限提升图示 🧐

本文将以两种不同的方式呈现： 对于那些只需要这个发现的关键点的人（InshaAllah，如果读者已经熟悉流程，这将节省大量时间）——请参考 TL;DR 部分。 对于那些需要基本解释以及这一发现背后的执

在 Web 应用程序安全领域，服务器端请求伪造 (SSRF) 漏洞有时会打开潘多拉魔盒，在适当条件下导致远程代码执行 (RCE)。这是我如何探索 SSRF 漏洞并将其升级为 .NET Web 应用程序

介绍 在网络安全领域，内核漏洞是漏洞赏金猎杀的圣杯。利用一个可能意味着对系统的完全控制，绕过所有安全措施。这就是我如何在内核中发现零日漏洞，负责任地披露它，并获得改变人生的漏洞赏金的故事。我还将分解现

您在测试 Web 应用程序时是否遇到过403 Forbidden 错误？许多人认为这是一条死路，但实际上，403 绕过技术可以帮助您访问受限区域并发现关键

微软一段时间以来一直在试图让客户远离 ADFS，这已经不是什么秘密了。除了给它贴上“弃用”的标签外，我遇到的每一份文档最终都解释了为什么现在应该使用 Entra ID 来代替 ADFS。 然而……我们

我当时正在研究可以在我的 C2 — Hydrangea中使用的远程进程注入技术。就在那时，我遇到了 Ghostly Hollowing。 什么是 Ghos

来源：马可波罗（电视剧） 我正在研究反射 DLL 注入，这是一项将加载器 DLL 注入到远程进程的技术，然后该进程自行加载（因此称为“反射”），并运行其 DllMain 入口点。 我想知道我是否可以注

介绍 快进到 2025 年，焦点已经转移。加密货币已淡出头条新闻，现在机器学习和人工智能成为焦点。这种转变不仅仅是一种短暂的趋势；它正在改变各个行业的市场。但这是它首次从根本上重塑软件工程。 利用人工

简介： 在测试一个售票网站时，我发现其支付功能存在一个严重缺陷。用户在售票时提交银行详细信息以接收付款，但我发现此过程容易受到跨站点请求伪造 (CSRF) 的攻击。在本文中，我将向您介绍如何在 JSO

介绍 无文件攻击已经存在多年。然而，它们在绕过防病毒软件方面仍然非常有效，并使检测和响应变得更加困难。 不仅如此，无文件攻击还使威胁情报变得更加困难，因为它主要依赖于可能从一个版本变为另一个版本的文件

在当今的数字时代，网络安全比以往任何时候都更加重要。防御网络威胁的关键要素之一是恶意软件分析。此过程有助于我们了解、检测和缓解可能对系统和网络造成严重破坏的恶意软件。在本文中，我们将探讨不同类型的恶意

简介：侧翼应用程序 这一切都始于一个金融服务平台在 Hackerone 上开展了 3 倍的活动。我过去能够为这个程序找到几个严重性很高的漏洞，所以我对这个平台很熟悉，主平台非常坚固，所以我知道我必须采

大家好，今天的故事中，我想分享一个业务逻辑漏洞，该漏洞允许我利用受害者的组织进行权限提升。 什么是权限提升？ 在理解这个故事之前，你需要知道什么是权限提升。权限提升是指攻击者获得比他们应有的更高的访问