2025年10月24日
使用Python将iOS快照从KTX格式转换为PNG
摘要: 本文详细介绍了如何通过Python解析iOS设备中存储为KTX格式的应用快照文件,包括LZFSE解压缩、ASTC纹理数据转换等技术细节,并提供了完整的代码实现方案。 阅读全文
posted @ 2025-10-24 23:06 qife 阅读(4) 评论(0) 推荐(0)
Serverpod提升存储密码哈希安全性:从脆弱算法升级至Argon2Id
摘要: 本文详细介绍了Serverpod身份验证模块中密码哈希存储安全性的改进,包括从易受彩虹表攻击的旧算法迁移至OWASP推荐的Argon2Id算法,提供了具体的迁移方法和代码示例,并说明了双算法验证的迁移机制。 阅读全文
posted @ 2025-10-24 22:22 qife 阅读(7) 评论(0) 推荐(0)
利用Eval Villain挖掘CSPT漏洞的完整指南
摘要: 本文详细介绍了如何使用Eval Villain工具来发现和利用客户端路径遍历(CSPT)漏洞。通过Doyensec的CSPT演练环境,逐步演示了从漏洞发现到利用的完整过程,包括工具配置、漏洞检测、响应分析和最终利用链构建。 阅读全文
posted @ 2025-10-24 21:40 qife 阅读(2) 评论(0) 推荐(0)
Devolutions Server权限提升漏洞分析与修复指南
摘要: 本文详细分析了CVE-2025-11957漏洞,该漏洞存在于Devolutions Server 2025.2.12.0及更早版本中,由于临时访问工作流程的授权机制存在缺陷,允许经过身份验证的基本用户通过精心构造的API请求自我批准或批准其他用户的临时访问请求,从而未经授权访问保险库和条目。 阅读全文
posted @ 2025-10-24 20:13 qife 阅读(5) 评论(0) 推荐(0)
三大安全认证授权协议深度对比:OAuth、OpenID Connect与SAML
摘要: 本文深入解析OAuth、OpenID Connect和SAML三大主流安全认证协议的技术原理、架构差异与应用场景,帮助开发者在Web应用中实现安全可靠的身份验证与授权机制,涵盖协议流程、安全机制对比及最佳实践建议。 阅读全文
posted @ 2025-10-24 19:16 qife 阅读(4) 评论(0) 推荐(0)
Offsec Nibbles CTF 实战解析:PostgreSQL漏洞利用与权限提升
摘要: 本文详细记录了Offsec Nibbles CTF挑战的完整解题过程,重点分析了PostgreSQL CVE-2022-1552漏洞的利用方法,通过Python脚本实现远程代码执行,并分享了权限提升的实战经验,最后讨论了系统加固建议。 阅读全文
posted @ 2025-10-24 18:06 qife 阅读(3) 评论(0) 推荐(0)
NVIDIA与Adobe漏洞深度解析
摘要: 本文详细披露了思科Talos团队在NVIDIA CUDA工具包中发现的5个安全漏洞及Adobe Acrobat阅读器中的1个释放后使用漏洞。这些漏洞涉及任意代码执行、越界写入和堆缓冲区溢出等严重安全问题,均已由相应厂商修复。 阅读全文
posted @ 2025-10-24 17:22 qife 阅读(3) 评论(0) 推荐(0)
YouTube数据抓取漏洞利用与概念验证解析
摘要: 本文详细解析了YouTube数据抓取概念验证项目的技术实现,包括Python代码编写、GitHub CoPilot辅助开发、YouTube API数据采集以及CSV文件生成等关键技术细节,展示了完整的数据抓取技术架构。 阅读全文
posted @ 2025-10-24 16:24 qife 阅读(6) 评论(0) 推荐(0)
58亿卢比"数字逮捕"骗局曝光:诈骗集团利用6500个银行账户欺诈72岁商人
摘要: 马哈拉施特拉邦网络警察破获一起巨额"数字逮捕"骗局,72岁股票交易员被骗58亿卢比。诈骗者通过6500个银行账户网络转移资金,利用假冒执法官员和AI生成文件实施犯罪,案件涉及国际呼叫中心和加密货币洗钱。 阅读全文
posted @ 2025-10-24 15:07 qife 阅读(3) 评论(0) 推荐(0)
红队终端工具:高级系统枚举与权限提升的PowerShell脚本
摘要: 本文介绍了一个功能强大的红队终端程序,专为Windows环境下的渗透测试设计。该PowerShell脚本包含系统信息收集、网络扫描、权限提升检查、反向Shell后门、持久化机制和横向移动等核心功能,帮助安全专业人员进行全面系统评估。 阅读全文
posted @ 2025-10-24 14:10 qife 阅读(5) 评论(0) 推荐(0)
Ruby类污染深度解析:利用递归合并实现攻击
摘要: 本文深入探讨Ruby中的类污染漏洞,分析如何通过递归合并操作实现权限提升和远程代码执行,涵盖ActiveSupport和Hashie库的实际案例,展示从对象级别到类级别的攻击链。 阅读全文
posted @ 2025-10-24 09:29 qife 阅读(3) 评论(0) 推荐(0)
PyQuokka框架存在Pickle反序列化远程代码执行漏洞
摘要: 本文详细分析了PyQuokka框架中FlightServer类的安全漏洞,攻击者可通过恶意Pickle反序列化实现远程代码执行,影响版本<=0.3.1,CVSS评分9.8分属于严重级别。 阅读全文
posted @ 2025-10-24 08:20 qife 阅读(3) 评论(0) 推荐(0)
广告软件变身按安装付费网络犯罪——InstallCapital恶意软件分析
摘要: 本文深入分析了InstallCapital这一按安装付费(PPI)恶意软件分发网络的技术架构、感染规模和盈利模式。研究发现该僵尸网络在2020年2月四天内就有22万活跃设备,主要感染美国用户,2018-2020年间收入达127万欧元,可分发Gluteba挖矿木马、Dreambot银行木马等多种恶意软件。 阅读全文
posted @ 2025-10-24 06:02 qife 阅读(6) 评论(0) 推荐(0)