有1,160,253,228个电子邮件地址和密码的唯一组合。这些数据似乎来源于不同来源泄露的数据。其中还包括一些垃圾信息，因为黑客他们并没有将他们的数据格式化存储。（我发现了不同分隔符类型的组合，包括冒号，分号，空格以及不同文件类型的组合，例如分隔文本文件，包含SQL语句的文件和其他压缩档案。）在MEGA云服务上发现了大约7.73亿个电子邮件地址和不到2200万个密码。安全研究员特洛伊·亨特（Tr

授权 AI 删除 app 中的 bug，结果 AI 将整个库都给删了，这件听起来很荒谬的事情，真实在美国「大众点评」Yelp 上发生了。Yelp 是美国著名商户点评网站，创立于 2004 年，囊括各地餐馆、购物中心、酒店、旅游等领域的商户，用户可以在 Yelp 网站中给商户打分，提交评论，交流购物体验等，由前贝宝（Paypal）工程师杰里米·斯托普尔曼 (Jeremy Stoppelman)

 前言大家好，上一篇文章小弟发表/解了一个简单的pwn，剩下的2个level也已经有小伙伴帮忙解题了，感觉大家好像都挺喜欢该类型的。这次小弟打算开始写一个新的系列文章，如果写的不好，或者有什么意见、建议欢迎各位大佬点评。本篇文章为入门篇故仅提供了8个level的栈溢出练习实验，均未开启任何保护的。后面的文章会进一步升级。 下载、实验环境实验代码下载：https://pan.ba

大家好！这篇文章我将描述一个我刚刚上报给Facebook的在群组管理方面的漏洞。Facebook在我上报漏洞的两个月之内修复了它，并且给了我500美金的奖励。漏洞描述在管理你的facebook群组时，你可以通过你的facebook主页而不是你的个人信息进行交互。在开始描述前，我希望你熟悉一些facebook群组相关的要点。群组创建者：群组创建者可以添加任意数量的管理员和版主，其他管理员不能删除。链

近期，Check Point安全研究人员在全球大热游戏堡垒之夜中发现多个安全漏洞，其中一个高危漏洞可以让远程攻击者通过钓鱼的方式非法接管玩家帐户。据报告显示，堡垒之夜的安全漏洞包括SQL注入、跨站脚本（XSS）、防火墙绕过等问题，其中做严重的是OAuth帐户非法接管漏洞。对于一款全球玩家超过8000万，且广受好评的在线游戏来说，帐号安全可以说是各项网络安全的重中之重。特别是在eBay上，一个高级的

背景正如大家都了解到的，XSS攻击能造成巨大的破坏：偷取cookie、攻击受害者的浏览器，以及将其用于钓鱼攻击以获取用户的登录凭证。而在这篇文章中，我们将介绍Adobe Experience Manager（AEM）系统中的一个反射型XSS，而且该XSS成功绕过了WAF，从而使攻击者可以悄无声息的发动钓鱼攻击。飞利浦我们的团队之所以瞄准飞利浦。大概是因为今年他们获得了“荷兰最著名公司”大奖。全球无

从2007年至今，Pwn2Own从一个小型的安全演示变成如今业内最知名的安全竞赛之一，并平均为每个exploit提供了10000美元的奖励。而在2019年的Pwn2Own中，除了以往的浏览器，虚拟机等攻击演示外，还将加入特斯拉Model 3，其中最高级别的奖金达到35万美元。总奖励的细则如下：Tesla Model 3其中调制解调器项目，WiFi蓝牙项目，网关项目必须通过恶意基站达到代码执行。加分

对于现在的互联网大公司来说，不断会有大量新资产和基础设施部署在互联网上，同时也有不少旧资产下架。而伴随着这种资产和设施的不停变动，传统的安全管理方法似乎不再好用。我们经常发现，随着资产设施的变化，同一个位置可能会出现以前从未发现的漏洞。当我们在测试一个uber的子域时，就发现了这种情况。这个子域是由Uber漏洞平台的Assetnote安全团队发现的，子域为exacttarget-web-hook.

 0x01 前言MetInfo采用PHP+MySQL架构，目前最新版本为6.1.3。2018年12月27日，Metinfo被爆出存在存储型跨站脚本漏洞，远程攻击者无需登录可插入恶意代码，管理员在后台管理时即可触发。该XSS漏洞引起的原因是变量覆盖，这种情况还是比较少见的，因此打算对这个漏洞进行分析并学习一下思路。 0x02 影响范围及利用条件Metinfo 6.x (6.0.0

嗨，大家好，在这文章中，我将讲述我在NASA的Jira（一个Atlassian任务管理软件）中发现的一个有趣的漏洞，更具体地说，是一个错误配置缺陷。它最终导致了NASA内部的敏感信息泄漏，包括NASA内部的用户详细信息、项目详细信息、员工姓名、员工的邮箱和ID等。现在，让我们开始吧。任何公司最关心的问题中肯定有内部信息保密，公司组织内不同个人所能访问的数据种类是不同的。换句话说，公司数据的安全性、