这篇文章中我将分享一个我在某网站上发现的盲XSS。同时，我会向大家推荐一种新的盲XSS的工具。盲XSS是跨站脚本的一种（XSS），攻击者“盲目地”在网页中输入一系列XSS的payload，希望能保存到数据库或文件中，攻击后端管理者。目前，我使用XSS hunter（网页版）来寻找找出盲XSS。XSShunter：XSS Hunter是最近才推出的平台，提供大量的payload，同时可以监控和管理X

作者：Ivan1ee@360云影实验室0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本，而在.Net领域也有一个Fastjson的库，作者官宣这是一个读写Json效率最高的的.Net 组件，使用内置方法JSON.ToJSON可以快速序列化.Net对象。让你轻松实现.Net中所有类型(对象,基本数据类型等)和Json之间的转换，fastjson是一个开源的J

医疗物联网（IoMT）设备在使用过时的操作系统由于未能及时进行安全修复，被攻陷概率大大增加，从而导致患者的数据信息被泄漏。而这些泄漏的数据在暗网中是非常受欢迎的数据。在近期的一个案例中，某位安全研究人员发现一台超声波的设备该设备中的操作为Windows 2000，该操作系统几年前已停止安全更新非常容易受到攻击。黑客可通过漏洞入侵超声波设备后，可以植入后门以长期下载、存储、编辑、删除、替换患者的数据

在一次漏洞悬赏活动中，我发现了一个使用WebSocket连接的应用，所以我检查了WebSocket URL，发现它很容易受到CSWH的攻击（WebSocket跨站劫持）有关CSWH的更多详细信息，可以访问以下链接了解https://www.christian-schneider.net/CrossSiteWebSocketHijacking.html首先，我们假设一个应用是通过以下URL建立web

美国实施网络攻击？委内瑞拉电力系统瘫痪或将代表大规模侵略新模式（《网络空间战略研究》第179期）在委内瑞拉政府切断边境大桥，严阵以待美军及其他各种方式的外来入侵的当头，形势出现重大变化，3月7日晚上，委内瑞拉全境出现大面积断电。总统马杜罗指责华盛顿对本国“电力战”。通信和信息部长乔治·罗德里格斯则将停电归咎于“美国精心策划的网络攻击”。到底是非曲直如何，有待进一步观察，但客观分析，美国完全具备网络

对于无钥匙启动的汽车来说，中继攻击是很重要的攻击点。为此，许多第三方汽车警报器厂商都有自己独特的产品来解决这一系列问题。但近期，我们已经证明，安装这些第三方警报器只会让车辆变得更不安全！黑客可利用这些警报器劫持汽车，让引擎在正在驾驶时停止，甚至直接偷走车辆。在我们团队购买并在汽车上安装了几个“高端智能”警报器后（花费5000美元），我们发现在两个最火爆的警报产品存在严重的安全漏洞，这些漏洞可导致黑

本周，Jackson县政府向网络犯罪分子支付了约40万美元。起因是此前发生的一起网络攻击事件，该事件导致了该县计算机系统瘫痪。Jackson县管理员Kevin Poe周五表示，在首次发现攻击事件一周后，相关政府人员不停尝试解密电脑和服务器。FBI正在调查勒索软件的情况。安全软件供应商Avast称，勒索软件是指黑客将受害者电脑和其他可上网设备文件加密，然后索要赎金以换取恢复访问权限的恶意软件。“他向

 作者：Ivan1ee@360云影实验室0X00 前言Newtonsoft.Json，这是一个开源的Json.Net库，官方地址：https://www.newtonsoft.com/json ，一个读写Json效率非常高的.Net库，在做开发的时候，很多数据交换都是以json格式传输的。而使用Json的时候，开发者很多时候会涉及到几个序列化对象的使用：DataContractJson

一入网络安全误终身这话真不是白说。这不，正常坐个飞机都不耽误网络安全教授"捉虫"，而且人家坚称自己不是专门来“找茬”，只是偶尔一试就发现了问题。最近，西苏格兰大学助理教授 Hector Marco 在越洋航班上发现了飞行娱乐系统屏幕上的拒绝服务攻击 Bug（CVE-2019-9109），他的发现可能会让大量搭载 Thales 设备的航班头大。https://playe

0x00MetInfo是一个比较的企业建站软件，用户众多。在去年的时候，曾爆出过几个漏洞，有XXE，SQL注入，任意文件读取等，详情见以下链接。印象比较深刻的是两个SQL注入漏洞，一个位于message.calss.php，一个位于feedback.class.php。漏洞都位于前台。只不过第二个洞比较苛刻，每注入一次需要输入一次验证码，利用起来貌似很鸡肋。最近看了一次metinfo，找到一个利用