等风来

Bandit是一款由Python官方推荐的静态代码分析工具（SAST），专为检测Python代码中的安全漏洞设计。它基于抽象语法树（AST）分析代码逻辑，内置超过60条安全规则，覆盖OWASP Top 10和CWE等常见风险，如命令注入、敏感数据泄露和不安全的反序列化。Bandit支持灵活的扫描配置，可按严重等级和可信度过滤结果，并可通过配置文件自定义规则。它适用于多种场景，包括扫描单个文件、整个项目目录，以及集成到CI/CD工具中，提供多种输出格式便于报告生成。Bandit轻量且社区活跃，通过pip直接安

本文介绍了如何使用 Veinmind 工具对 Ragflow 项目进行本地镜像安全扫描。首先，文章解释了 Docker 镜像的基本概念，包括镜像的组成、标签（tag）的作用以及如何查看本地和远程仓库的镜像标签。接着，文章对比了构建镜像和拉取镜像的区别，并详细说明了拉取 Ragflow 镜像的步骤。随后，文章介绍了如何安装 Veinmind 工具，包括直接拉取官方镜像或从源码构建的方式。最后，文章演示了如何使用 Veinmind 工具对本地镜像进行安全扫描，并生成不同格式的扫描报告。整个过程涵盖了从镜像拉取到

AI Infra Guard 是腾讯朱雀实验室开发的一款轻量化、智能化的 AI 基础设施漏洞发现与 MCP Server 安全风险扫描工具。该工具具备全面的安全检测能力，支持 9 类 MCP 常见安全风险检测和 28 种 AI 组件框架识别，覆盖 200+ 漏洞指纹。其智能易用的功能体验由 AI Agent 驱动，支持 GPT-4 等大语言模型的代码安全分析，并提供 Web 界面可视化操作。工具设计轻量，跨平台支持 Windows、MacOS、Linux 系统。

在向 points.com 团队提交最后的报告后，我们的发现使我们能够访问全球大部分奖励计划的客户信息，代表客户转移积分，最终还可以访问全球管理面板。我们已将所有问题报告给了 points.com 安全团队，他们非常快速地修复了这些问题，并与我们一起进行这个披露。这篇博客文章，以及我们其他的研究（如接管十多个顶级域名，能够远程解锁、定位并有时禁用多个不同汽车制造商的车辆），展示了一个高影响力问题研究的主题，即我们可以利用单点故障产生广泛的影响。

敏感硬编码扫描工具是一款用于检测项目文件中硬编码敏感信息的安全工具，旨在防止敏感信息泄露带来的安全风险。该工具通过配置敏感词和正则表达式匹配模式，扫描指定目录或文件中的潜在敏感信息，并生成HTML或CSV格式的扫描报告。工具的文件结构包括主程序、报告导出模块、正则模式处理模块及配置文件。用户可通过命令行启动扫描，并自定义敏感词和正则表达式规则。工具支持生成详细的扫描报告，便于开发人员快速定位和处理敏感信息泄露问题。

更令人惊喜的是，Points.com 对安全研究持开放态度，官方甚至明确表示欢迎提交漏洞报告，这为我们的探索提供了充分的正当性和价值空间。在 GitHub 上搜索了一番，并花了数小时翻阅与 Points.com 相关的文档后，我们意外发现了一个专门面向奖励计划开放的 API，它部署在名为 lcp.points.com 的子域名下。在查阅公开代码仓库的过程中，我们偶然发现了这套 API 的接口文档链接——虽然该文档早已从官网下架，但幸运的是，我们在 archive.org 上找到了其归档备份。

由于这些域名数量庞大，格式一致，并明显具有算法生成的特征，他们推测这些域名很可能是恶意软件使用的 DGA（域名生成算法）。这种技术通常用于不断变化 C&C（指挥控制）服务器的域名，以避开检测和封锁。

在向Cox报告漏洞后，他们调查了这个特定的漏洞是否曾经被恶意利用，并发现没有滥用的历史（我发现漏洞的服务在2023年上线，而我的设备在2021年就已经被攻破）。他们还告诉我，他们与DigitalOcean IP地址没有任何关联，这意味着设备肯定被黑客攻击了，但并不是通过我在这篇博客中披露的方法。我仍然非常好奇我的设备是如何被攻破的，因为我从未让我的调制解调器在外部可访问，也没有在我的家庭网络中登录该设备。

有趣的是，这次用于验证一次性访问令牌的HTTP请求，仍然是发送到此前owners.kia.com使用的同一个URI：/apps/services/kdealer/apigwServlet.html，不过这次是通过Kia Connect经销商站点发出的。我们使用第三方API将车牌号转换为VIN后，接管按钮会执行四个步骤来接管受害人的车辆，首先通过登录表单生成经销商令牌，然后从受害人账户中获取邮箱和电话号码，接着将账户所有者降级为账户持有者，最后将我们自己添加为主账户持有者。说不定就能拿到我们需要的权限。

Hacker 可以在注册时填写自己的邮箱地址，但输入 Victim 的手机号；倘若连这种基础验证逻辑都能出现如此低级的设计问题，不禁令人担忧，还有多少其他网站 —— 尤其是那些处于子域名下、无人维护的模块 —— 可能也同样潜藏着类似的隐患？在这种情境下，Hacker 可以成功完成注册，并将 Victim 的联系方式绑定至自己的账户中 —— 而 Victim 对此全无察觉。同理，反向操作亦可行：Hacker 填写 Victim 的邮箱与自己的手机号，再使用自己手机收到的 OTP 完成验证。

cat：连接并显示文件内容chattr：更改文件的属性chattr [+/-=]属性 文件名chgrp：更改文件的所属用户组chgrp 组名 文件名chmod：更改文件的权限chmod 权限 文件名chown：更改文件的所有者和所属组chown 用户[:组] 文件名cksum：计算文件的 CRC 校验和cksum 文件名cmp：逐字节比较两个文件cmp 文件1 文件2diff：比较两个文件内容差异diff 文件1 文件2diffstat：统计 diff 输出的变化信息diffstat 文件名。

安全响应头是防止常见 Web 攻击（如点击劫持、跨站脚本攻击等）的有效防线，因此合理的配置这些头部信息对任何网站的安全至关重要。Web 安全响应头扫描器（Security Headers Checker）是一款专为提升网站基础安全性而设计的安全合规工具。它能够自动检测目标网站是否配置了关键的 HTTP 安全响应头，从而帮助开发者提高网站的整体安全性，并减少潜在的攻击面。

为了确保我没有遗漏什么，我联系了一位朋友，问她是否可以“黑”掉她的车，以证明我们可以完全接管车辆。汽车行业的特殊性在于，一个来自德州的18岁员工，可以查询到加州某辆车的账单信息，而这并不会引起任何警觉，这是他们的日常工作内容之一。换句话说，如果这个接口确实按这段 JavaScript 的逻辑运行，那攻击者只需要知道某位员工的邮箱地址，就可以重置其密码，直接接管账号。结合我以前在其他车企挖洞的经验，我知道很多时候员工端系统的权限远比用户端大得多，而且这些系统有时会暴露在公网，或存在配置不当的问题。

一个简单的去重工具，适用于需要去除文件中重复行并保留原始顺序的场景：提取特定 JSON 数据从一个包含多个 JSON 对象的文件中提取指定的数据，并将这些数据写入到一个新的文本文件中。以下源码逻辑为：对于 test.json 的 items 列表中的每一个字典对象，提取其中的 name 和 mail 字段。如果这些字段存在，就将它们按行写入到 1.txt 文件中，每行一个字段（先是 name，再是 mail）。编码解码工具基于网页的小功能工具，包含时间戳转换、Base64 编解码、URL 编解码。

5、由于他们使用的是数字ID来访问数据，我使用了Burp Suite的Autorepeater插件，使每个包含我的eventID的请求都匹配受害者的victimEventID。我已经测试这个应用程序一段时间了。由于eventID是一个数值ID，我们可以使用暴力枚举的方式遍历所有可能的eventID，将XSS注入到所有平台用户的电子邮件模板中。然后重新进行URL编码，并发送请求，刷新页面后，XSS成功执行，但它是Self-XSS。3、我进入了“Customers”标签页，在我的账户下可以看到所有我的客户。

该应用程序是一个允许用户创建组织、跟踪其网站并提供多种功能的应用。此外，管理员可以邀请其他用户并为其分配自定义权限。我不清楚该应用的具体技术栈和开发语言，但我知道它的权限配置可能非常复杂，因为这个漏洞本身就十分奇特。

在当今数字化时代，网络攻击频繁发生，其中DDoS（分布式拒绝服务）攻击因其强大的破坏力，已成为网络安全领域的一大挑战。传统的流量检测方法在面对复杂多变的DDoS攻击时，往往显得力不从心。基于规则的检测技术依赖于预设规则库，而面对不断演变的新型攻击手段，由于缺乏相应的规则，往往难以及时发现和阻止攻击。例如，一些利用应用层协议漏洞的DDoS攻击，其流量特征与正常流量极为相似，使得传统规则匹配方法难以有效区分。此外，传统的机器学习检测算法（如朴素贝叶斯、支持向量机等）在处理高维度、海量网络流量数据时，易受到过拟合

CyberMatrix 是一个基于 AI 的代码安全分析工具，专注于自动化检测和分析代码中的潜在安全漏洞。采用赛博朋克风格的现代化界面，提供直观的安全分析体验。现代化 UI 框架 JavaFX + JFoenix本地化 AI 模型 OllamaAnimateFX，实现界面动画效果Jackson，实现JSON 处理OkHttp，实现网络请求。

紧接着，我取消之前设置的断点，并在当前关键代码处重新设置断点。我仔细向上翻阅代码，发现关键信息：变量a的值必须为c3ee4d1ca34b184882c9c5473cb82490，且n.password的值必须为1680，满足这两个条件方可成功登录。由于系统设定，输入错误的账号和密码会弹出 “账号密码错误” 的提示。在安全测试过程中，我留意到一个特殊现象：当登录出现错误时，相关请求包并不经过 Burp Suite。那么此时账号密码是储存在前端的，我通过调试即可实现登录管理员账户。

在 JavaScript 中，eval 是一个非常强大的函数，允许执行动态构建的字符串代码。在 Linux 中，攻击者可以通过 getuid() 和 getgid() 等方法获取当前用户的 UID（用户 ID）和 GID（组 ID），甚至可以使用 setuid() 和 setgid() 改变当前进程的用户和组。在某些国产浏览器中，浏览器功能的 HTML 化越来越普遍，各种 XSS（跨站脚本）漏洞层出不穷，一些浏览器提供了跨协议访问的能力，使攻击面进一步扩大，甚至可能导致本地文件泄露或远程代码执行。

在这篇文章中，我将讨论我对 tRPC 的研究。首先，我们将回顾 tRPC 的概念，然后再分析 tRPC 应用的攻击面。作为开发者，我们需要在服务器上使用 TypeScript 定义 API，明确指定代表 API 端点的函数的输入和输出类型。在 tRPC 中，这些函数被称为“过程”（Procedures），它们可以执行各种操作，例如获取数据（查询，Queries）以及创建、删除和更新数据（变更，Mutations）。在服务器端，过程（Procedures）被组织到路由（Routers）中。

相比于跨站脚本（XSS）、远程代码执行（RCE）、SQL 注入（SQLi）等漏洞，我决定在 Google 和 Facebook 中寻找点击劫持（Clickjacking）漏洞。点击劫持通常是漏洞赏金计划中报酬最低的漏洞之一，很多企业甚至将其排除在漏洞范围之外，并低估了其危害。

CSV 注入（CSV Injection）也称为公式注入（Formula Injection），是指网站在生成 CSV 文件时，未经验证地嵌入了不受信任的用户输入。如果攻击者在 CSV 文件中注入了系统函数调用或恶意负载（Payload），则可能会利用受害者的系统漏洞，或者将文件中的数据泄露给攻击者。攻击者可以诱导用户下载受感染的 CSV 文件，并在用户打开时执行恶意代码。，通过命令执行，攻击者可以运行服务器或在命令提示符中执行命令。在导出的 CSV 文件中，这些字段的计算结果将显示相应的。

此外，OTP 仅为4 位数字（0000-9999，共 10,000 组可能性）。通过策略性选择 60 组数字（如 5000–5060）进行批量尝试，失败后重新请求新的 OTP，再次尝试相同的 60 组数字。随后，我检查了密码重置功能。通常，重置密码涉及多个请求，包括 OTP 验证。问题在于，尽管可以随意重置密码，登录时仍需通过 OTP 认证，尚未完全接管账户。未设置冷却时间，意味着可以连续请求 OTP 12 次，才会触发速率限制。14 分钟内，我成功暴力破解 OTP，并获取了会话令牌。

此刻，我的唯一目标就是攻破这台服务器，别无他念。接下来，我启动 Netcat 监听，然后访问 /rev.php，以执行反向 Shell 脚本，成功获得了服务器的Shell 访问权限。于是，我查看了客户端代码，发现如果登录成功，服务器会返回待备份的数据，并将用户重定向到一个面板，该面板会显示从登录返回的数据库名称。现在我已经成功获得了代码执行权限，于是我编写了一个简单的 Python 脚本，用于与服务器进行交互，就像一个远程 shell 一样。现在，我可以看到发送出去的请求，以及其中包含的我输入的数据。

然而，在漏洞赏金活动中，这种方法效果不佳，因为覆盖范围太广，且可能有许多其他安全研究员在研究相同的功能。在Burp Suite中分析HTTP请求历史时，我尝试搜索我的会话令牌，以检查它是否被发送到了其他地方。我点击了其中一个搜索结果，从URL中复制了会话令牌，并使用它发送了请求。该令牌似乎是一个SHA-1哈希值，并且不会过期，这意味着一旦泄露，攻击者可以长期使用它进行身份验证。这意味着，我的会话令牌可能被意外暴露。这次搜索证实了一个可怕的事实：这个漏洞可能已经存在了数月，甚至数年，并影响了数百名用户。

在审查目标平台“redirect.com”的Web应用时，我发现它使用了JSON Web Token（JWT）进行身份验证，因此决定尝试进行账户接管（ATO）攻击。首先，我创建了一个新账户并测试了其功能。在此过程中，我尝试在“firstName”字段输入XSS（跨站脚本攻击）payload，并填写了其他必要信息。在Firefox浏览器中登录时，没有发现异常，误以为平台是安全的。然而，在Microsoft Edge浏览器中登录时，XSS payload成功弹出了警告框。

在本文中，我将详细介绍如何发现并成功利用一个本地文件包含（LFI）漏洞，最终在 Bugcrowd 上获得 P1 级别的严重性评级。本地文件包含（LFI）是一种服务器端漏洞，允许攻击者通过应用程序包含本地文件。当 Web 应用程序在动态加载文件时未对输入进行充分验证，便可能导致该漏洞的产生。成功利用 LFI，攻击者可读取敏感系统文件、获取源代码，甚至在某些情况下实现远程代码执行（RCE）。

以下是对其漏洞的探索。尽管未能直接访问 Buganizer，但这个方法依然暴露了一个安全问题：恶意用户可以利用这种方式注册并持有 @google.com 结尾的 Google 账户，在互联网上的其他服务中冒充 Google 员工，甚至可能享受某些内部权限或特殊待遇。我推测 Issue ID 是按顺序递增的，因此，我编写了一个脚本，生成了几千个可能的 ID，并对这些问题全部加星标。在 Google 的问题追踪系统中，用户可以给某个问题加星标，表示对该问题感兴趣，并在该问题有新评论时收到电子邮件通知。

通过设置速率限制，控制 API 调用的频率和方法，可以防止 DoS 攻击，并确保在流量高峰期间维持 API 性能和安全。通常，持久性威胁的检测需要超过200天，而大多数漏洞是由外部机构发现的，这突显了有效API监控的重要性。它确保 API 始终验证用户和应用程序的身份（无论在边界内外），并为其提供执行任务所需的最小权限，同时密切监控异常行为。API通常未对客户端请求的资源数量或大小进行限制，这可能导致拒绝服务（DoS）攻击，影响API性能，并暴露身份验证漏洞，使暴力破解攻击变得更加容易。

SSL/TLS 重协商（Renegotiation）是指在已经建立的 SSL/TLS 连接上，客户端和服务器重新协商加密参数，以更新安全设置或重新进行身份验证。它可以由客户端或服务器发起。

在 Web 开发中，Session Cookie（会话 Cookie）的作用范围（Domain 属性）对于跨域和子域共享至关重要，以下是关于其作用范围的详细说明。

与消耗带宽的基于反射的 DDoS 攻击（如 NTP 放大）不同，这种类型的攻击使用很少量的带宽，旨在利用看似比正常速度慢的、模拟正常流量的请求来消耗服务器资源。它可以归入称为“慢速”攻击的攻击类别。限制单个 IP 地址允许建立的最大连接数，限制慢速传输速度，以及限制客户端允许保持连接的最长时间，这些技巧都是限制慢速攻击的有效方法。1、增加服务器可用性：增加服务器在任何时间允许的最大客户端数量，这将增加攻击者使服务器过载前必须建立的连接数。3、基于云的保护：使用可充当反向代理的服务，保护源服务器。

低速缓慢攻击是 DoS 或 DDoS 攻击的一种，依赖一小串非常慢的 HTTP 或 TCP 流量，针对应用程序或服务器资源发起攻击，试图停止 Web 服务。与更传统的蛮力攻击不同，低速缓慢攻击所需的带宽非常小，并且难以防护，因为它们生成的流量很难与正常流量区分开。大规模 DDoS 攻击可能会很快被注意到，而低速缓慢攻击可能会在很长一段时间内不被发现，同时拒绝或减慢对真实用户的服务。与可能需要一个僵尸网络才能发起的分布式攻击相反，发起低速缓慢攻击不需要很多资源，使用一台计算机就可以成功发起。

某Web应用的 cms/upload.jsp 接口用于上传文件。然而，在未登录的情况下，直接使用 GET 或 POST 请求访问该接口，会返回错误信息。

GraphQL是一种API查询语言，旨在促进客户端与服务器之间的高效通信。它使用户能够精确指定所需的数据，从而避免REST API中常见的大型响应对象和多次调用问题。GraphQL服务通常用于身份验证和数据检索机制。这意味着，如果攻击者能够成功发送恶意请求，他们可能会访问敏感信息，甚至执行更高危的攻击，如跨站请求伪造（CSRF）。Burp Suite 使构造 GraphQL 请求变得简单，并能帮助用户深入了解 GraphQL API 的模式。【网络安全 | 渗透测试】GraphQL精讲一：基础知识。

这是一个在线工具，它可以将 introspection 查询的结果转化为返回数据的可视化表示，包括操作和类型之间的关系。查询深度是指查询中嵌套的层级数。如果该端点支持一个网站，尝试在 Burp 的浏览器中探索 Web 界面，并使用 HTTP 历史记录查看发送的查询。如果这不起作用，可以尝试在另一种请求方法下运行探测查询，因为 introspection 可能仅在 POST 请求中被禁用。此操作可能会绕过速率限制，因为它是一个单一的 HTTP 请求，即使它可能在一次查询中检查大量折扣码。

GraphQL 是一种 API 查询语言，旨在促进客户端与服务器之间的高效通信。它允许用户精确指定所需的数据，从而避免 REST API 可能出现的大量响应数据和多次请求问题。GraphQL 服务定义了一种契约，客户端可以通过该契约与服务器进行通信。客户端无需了解数据存储的位置，而是向 GraphQL 服务器发送查询请求，由服务器从相关数据源获取数据。由于 GraphQL 与平台无关，它可以使用各种编程语言实现，并能与几乎任何数据存储进行交互。

首先想到的是查看是否能够通过 wp-json API 端点上传任何插件，但经过大量搜索后得知，由于安全原因，这是不可能的。现在，我已经获得了很多有用的信息。当时正值周五晚上，我知道 Bugcrowd 不会在周末回复，于是我有了几天的时间来尝试提升该漏洞的危害性并展示更为实质的影响。在这篇文章中，我将向大家展示一个我发现的漏洞，该漏洞利用了一个硬编码的 Basic 认证头，获取了管理员权限。首先，我尝试访问 wp-admin 目录，但被重定向到 Okta 验证面板，遗憾的是，凭据在此不起作用。

想象这样一个场景：一个专门处理敏感文档的平台，如保险理赔或身份验证系统，却因一个设计疏漏而成为攻击者的“金矿”。在对某个保险门户的文件上传功能进行测试时，我意外发现了一个可导致大规模账户接管的存储型 XSS 漏洞。最初的尝试只是一次简单的安全测试，然而，漏洞的深度远超预期。让我们深入探讨这一发现。