合速度意外发现幕布居然明文存储用户密码,还返回给了前端
2025-05-07通过浏览器 使用密码登录幕布,点了登录没反应,出于习惯看了一眼交互请求。结果发现 幕布不但明文存储了用户密码,还把密码发送到了浏览器端,由前端做密码校验?真要是这样就有点离谱了…
你听我说,这个仿闲鱼诈骗平台是这样的。
2025-05-06事情起因 听我说,事情是这样的: 废话不多说~开干!就这? 扫码获取 url 直接访问: xxx.xxx.com/h5.2.taobao/index2.php?te=1…
朋友买卢浮宫门票被钓鱼网站骗
2025-04-30google 关键词“卢浮宫门票”,排在第一的是这个钓鱼网站: www.ticketslouvre.com/ ,有赞助商广告标识,应该是花钱顶上来的。真正的官网是: www…
大白关于批量渗透的疑惑
2025-04-26纯技术探讨,最近在论坛认识了一个技术,他能够一天渗透 50~100 个不同域名的后台,然后上传跳板文件,我没有做过渗透所以很疑惑,这都 2025 了还有那么多漏洞站吗,这个还能…
敏感 API 需要加密请求体避免泄漏请求内容给 CDN,是否使用了 AES-256-GCM 这类带完整性验证的加密算法,就没有必要再签名一次了?或者有没有更简单的方案, HMAC 拼接签名客户嫌麻烦不太愿意对接
2025-04-17所有人都知道 CDN 为了缓存请求需要卸载 SSL ,可以接触到明文 Payload 。但是我们的产品需要接触敏感数据,例如实名认证、信用卡之类的信息,需要让 CDN 无法解密…
统一密码泄露
2025-03-30去年 10 买的搬瓦工服务器,年底登不上账号但服务器还在正常使用,以为是 bug ,找回密码也没反应,重新注册居然成功了,代表我的邮箱没有绑定账号,搬瓦工提交工单找回账号了。之…
Vite 开发服务器路径遍历漏洞(CVE-2025-30208)
2025-03-27描述前端构建工具 Vite 在 6.2.3 、6.1.2 、6.0.12 、5.4.15 及 4.5.10 之前的版本存在安全漏洞。正常情况下 仅允许访问 Vite 服务白名单…
NextJS 超瓜皮漏洞,赶紧升级!
2025-03-24Downloading @next/[email protected]: 41.23 MB/41.23 MB, donedependencies:next 15.1.…
(转载)小米手机的严重安全漏洞:未解锁可查看所有音频文件
2025-02-27全文: imgur.com/a/Wlw6NUY亲测数据有隔离,录音文件访问不到只有部分音乐和铃声可以访问。录音文件看不到。我看酷安很多人在测试,好像是要在锁屏界面的相机里面能…
老婆被仿冒 Google Chrome 网站坑了,电脑中木马
2025-02-21前天老婆在 Bing 搜索 Chrome 下载,排名第一的链接有一个 google-chrom.cn ,她觉得比较正规就在这个网站上下载安装“Chrome“浏览器(此网站不用…
