websecurity
53 次瀏覽
3 討論中
熱門
最新
安全發現 @Binance Square Official @Daniel Zou (DZ) 🔶
在 Binance Creatorpad 排行榜中發現潛在的 IDOR/信息泄露。
URL 模式:
/creatorpad/{project}global/leaderboard
簡單地更改 {project}(dusk→xpl→vanar 等)可以顯示不同的項目排行榜,而無需訪問控制檢查。
🔓 風險:未經授權的訪問,項目枚舉,早期數據曝光。
#Cybersecurity #BinanceSecurity #WebSecurity #IDOR
在 Binance Creatorpad 排行榜中發現潛在的 IDOR/信息泄露。
URL 模式:
/creatorpad/{project}global/leaderboard
簡單地更改 {project}(dusk→xpl→vanar 等)可以顯示不同的項目排行榜,而無需訪問控制檢查。
🔓 風險:未經授權的訪問,項目枚舉,早期數據曝光。
#Cybersecurity #BinanceSecurity #WebSecurity #IDOR
在 React 服務器組件中發現了一個嚴重的安全問題
並且它已經被攻擊者使用。這個問題使許多網站面臨風險,包括與加密相關的平臺。危險是真實和活躍的,它影響那些沒有更新的網站。
這個問題被稱爲 React2Shell。它被追蹤爲 CVE 2025 55182。這個缺陷允許攻擊者遠程控制服務器,無需任何登錄。這意味着不需要密碼。一旦進入,他們可以自由運行自己的代碼。這是最糟糕的安全問題之一。
React 開發者在 12 月初分享了這個問題,並將其標記爲非常嚴重。之後不久,安全團隊發現攻擊者在真實攻擊中使用了它。既有以金錢驅動的團體,也有高級黑客團體參與其中。他們瞄準了運行受影響的 React 和 Next js 設置的網站。
這個問題被稱爲 React2Shell。它被追蹤爲 CVE 2025 55182。這個缺陷允許攻擊者遠程控制服務器,無需任何登錄。這意味着不需要密碼。一旦進入,他們可以自由運行自己的代碼。這是最糟糕的安全問題之一。
React 開發者在 12 月初分享了這個問題,並將其標記爲非常嚴重。之後不久,安全團隊發現攻擊者在真實攻擊中使用了它。既有以金錢驅動的團體,也有高級黑客團體參與其中。他們瞄準了運行受影響的 React 和 Next js 設置的網站。
登入探索更多內容