近期，一名安全研究员发现了一台暴露在公网的不安全MongoDB服务器，泄露了近50万印度公民的详细个人信息。由于这个数据库没有设置认证密码，任何互联网用户都可以访问它。在Hacker News发布的一篇文章中，Bob Diachenko透露，他最近在网上发现了一个4.1GB大小的含有高度敏感数据的数据库，名字为“GNCTD”，其中包含了德里458388个居民的个人信息，包括他们的身份证号码和选民I

 0x0概况Lucky是一种超强传播能力的恶意代码软件家族。其功能复杂，模块较多，能够利用多种漏洞组合和进行攻击传播。含有Windows和Linux双平台攻击模块，加密算法使用RSA+AES算法，攻击完成最后利用中毒计算机进行挖矿，勒索等。本文只分析其中的加密勒索模块部分，主要实现其加密后文件的解密，至于其他攻击模块，可参考文章后边提供的其他文章。 0x1加密分析判断条件部分：

这个漏洞是在Uber的许可下披露的。AppSecure团队的Anand Prakash和Manisha Sangwan发现了这个严重的信息泄露漏洞。Uber的安全团队在接到上报后很快就修复了。这是一个是在域名riders.uber.com上的信息泄漏漏洞，AppSecure团队在其发现了一个公共API端点https://riders.uber.com/profile，该API原本的作用是向已被Ub

大家好！这篇文章我将和大家分享如何绕过某个网站中表单上传的速率限制，让我们开始吧！关于速率限制：这种功能的实现一般是通过检查session缓存中的信息来识别某个用户session或IP地址在短时间内访问过多，应该限制访问速率。如果某个客户端在特定时间段内发出过多请求，后端服务器则会直接返回错误代码429：请求过多。侦察阶段：在前期侦察过程中，我注意到基本所有功能都有速率限制，所以我开始考虑如何绕过

 前言病毒分析很心酸，真的会秃头。这个是关于Criakl勒索病毒安全预警：https://baijiahao.baidu.com/s?id=1621544930994823264&wfr=spider&for=pc感谢这些安全专家吧，唉。不说了。头发真的都掉完了~~~ 一：目录1.目录2.Ioc3.行为分析4.样本分析5.技术总结 二：IoC2.1 母

在我这篇文章开始前，我有两个重要的提示给想用漏洞赚钱的人。一定要检查以前的漏洞报告，因为你可能会知道一些漏洞发现者不知道的绕过方式（就可以再次报告漏洞），又或者你可以学到一些新的东西。如果你喜欢漏洞悬赏方面的内容，可以关注我youtube的频道Elber Trvares。SLACK AND SSRF:Slack是聊天群组+大规模工具集成+文件整合+统一搜索。截至2014年底，Slack已经整合了电

2月10日，我在Twitter上收到了一条非常有趣的私信。这条私信中的“Aadhar”和“leak”引起了我的兴趣。在交谈几句后，他给我发了一个网址。这个网址的页面包含了丰富的信息：“Consumer No”的超链接包含一个名为“aadhar_no”的参数。“Consumer Name”“Consumer Address”页面右下角的“Total Records”在URL中，有一个名为dealer

译文声明本文是翻译文章，文章原作者nccgroup，文章来源：nccgroup.trust                                原文地址：https://www.nccgroup.trust/us/about-us

概述Discuz是一个通用的社区论坛软件系统。最近看到一个Discuz逻辑漏洞，该漏洞源于Discuz微信登陆功能。Discuz 3.4默认安装了微信登陆。利用这个漏洞攻击者可以越权登陆论坛其他会员的账号甚至是管理员账号，主要还得看脸。原理首先看了下作者的描述，“如果有用户点了一下绑定微信，但是并没有绑定” 这句话说的很模糊，开始没有明白什么意思。然后跟进代码看了一下。漏洞源码位于/upload/

援引瑞典科技媒体Computer Sweden报道，拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上，并且没有经过任何的加密和身份认证，意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。外媒Computer Sweden表示曾聆听了部分录音信息，其中包括患者的疾病、目前服