利用 OpenWrt + 定时任务实现网站自动签到并推送通知

### 结论 脚本存在高危敏感信息泄露风险(明文密码/Server酱KEY)、SSL/TLS验证绕过、异常场景处理不足等漏洞,需进行安全加固。攻击面主要集中在凭证存储、网络请求、异常日志三个环节,建议优先修复验证绕过和凭证保护。---### 分析路径(Source-Sink视角) #### L1 攻击面识别 1. **敏感数据源** - `USERNAME`, `PASSWORD`, `ANSWER`, `SCKEY`直接硬编码在脚本中,文件权限失控可能导致凭证泄露。 - Server酱推送的` ...

Signal确认遭针对性钓鱼攻击,用户账户被接管

Signal正式确认,一波针对性的钓鱼攻击活动已导致包括记者和政府官员在内的高知名度用户账户被成功接管。这款加密信息服务明确表示,其核心基础设施和端到端加密协议仍然完好无损,完全未被攻破。威胁行为者并非利用技术漏洞,而是通过直接操纵人为因素来绕过安全边界。这些针对性攻击活动凸显了一个日益增长的趋势:威胁行 ...

2026-03-10 09:20:09 1 73

恶意 npm 包伪装成 OpenClaw 安装程序,部署 RAT 窃取 macOS 凭证

网络安全研究人员发现了一个恶意的 npm 包,该包伪装成 OpenClaw 安装程序,旨在部署远程访问木马 (RAT) 并从受感染的主机中窃取敏感数据。 该软件包名为“@openclaw-ai/openclawai”,由一名名为“openclaw-ai”的用户于 2026 年 3 月 3 日上传至注册表。截至目前,该包已被下载 178 次。截至本文撰写时,该库仍可供下载。 ...

2026-03-10 03:07:46 2 106

Nginx UI 存在严重漏洞,攻击者可利用这些漏洞下载完整的系统备份。

Nginx UI 中新发现的一个严重漏洞允许未经身份验证的攻击者下载并解密完整的系统备份 。该漏洞被追踪为 CVE-2026-27944,属于 CWE-306 和 CWE-311 类漏洞,最高 CVSS 评分为 9.8。它会影响 2.3.2 之前的所有 Nginx UI 版本,管理员需要升级到 2.3.3 才能应用安全补丁。该漏洞源于 Nginx UI Go 代码库中的两个重大安全缺陷。 ...

2026-03-10 00:14:48 2 136

维基百科遭到恶意JS攻击后临时进入只读状态 事后调查发现恶意脚本已潜伏两年

日前知名百科网站维基百科出现严重的安全问题,维基百科在进行某种安全测试时调用某个不安全的 JavaScript 脚本,此次安全事件导致大量维基百科管理员账号出现安全问题。为应对这种紧急情况维基百科直接将受影响的站点设置为只读模式,随后进行排查后发现相关的恶意脚本已经存在两年但没有被发现,而且脚本此前也没有被激活 ...

2026-03-09 17:20:43 2 614

AVideo平台零点击命令注入可致流被劫持

广泛使用的开源视频托管与流媒体平台AVideo近日披露了一个高危漏洞。该漏洞被追踪为CVE-2026-29058,是一个零点击触发的高危缺陷,允许未经身份验证的攻击者在目标服务器上执行任意操作系统命令。该漏洞由安全研究员Arkmarta发现,主要影响AVideo 6.0版本,官方已在7.0及后续版本中发布补丁修复。此漏洞属于CWE-78类别(OS ...

2026-03-09 09:41:03 2 178

医疗IT公司TriZetto Provider Solutions发生数据泄露事件,导致超过340万人的敏感信息外泄

TriZetto表示,支付卡、银行账户或其他财务信息在此次事件中并未暴露。受影响的提供商于2025年12月9日收到警报,但客户通知始于2026年2月初。此外,该公司尚未发现任何网络罪犯试图滥用这些信息的案例。TriZetto表示,已经采取措施加强系统的网络安全,并向执法部门通报了这一事件。Kroll为通知收件人提供免费的12个月信用 ...

2026-03-09 09:15:05 1 156

热门活动

T00ls专家

zcgonvh

荣誉会员

文章27篇,精华12篇

1

Twi1ight

潜水会员

文章41篇,精华11篇

2

Rices

潜水会员

文章154篇,精华5篇

3

Bypass

荣誉会员

文章26篇,精华5篇

4

Hmily吾爱破解论坛创始人,著名逆向破解专家

潜水会员

文章18篇,精华4篇

5

ph12h0n

潜水会员

文章40篇,精华4篇

6

lyxhh

潜水会员

文章85篇,精华4篇

7

panda

荣誉会员

文章43篇,精华3篇

8

backlion

注册会员

文章31篇,精华3篇

9

tryblog

版主

文章31篇,精华3篇

10

最新精华

渗透测试利用影子认证帧在标准CAN上实现防重放的技术方案

一个几乎百搭、不改架构、低成本就能落地的整车防重放方案,不是 ...

2025-09-05 18:02:54 8 282

渗透测试浏览器劫持-另类篇

### 前言最近遇到一个项目,在提取浏览器信息时要么提取后乱码要 ...

2025-08-22 11:20:36 19 830

渗透测试分享一次JS自动化加解密过Sign实战经验

本次实战中使用到了jsrpc+autoDecoder+v_jstools实现了JS无感自 ...

2025-07-28 07:47:08 28 1225

逆向破解WinOS银狐远控多重后门浅析

# 前言我在t00ls发布了获取到的WinOS源码第二天,大佬@WBGlIl就 ...

2025-06-27 22:58:11 20 665

逆向破解白加黑dll劫持维权

权限维持及免杀现在越来越难了 有时候可以结合目标环境做一些dll ...

2025-05-12 15:32:11 12 515

我是如何解除 iPhone ID 锁

#0x001 起因话说当时B同学拿了一部 iPhone 6 给我,我看了看,发现开机有密码。然后就帮他重装系统。。。结果发现要激活去到iPhone官网进行查询序列号原来是打开了“查找我的iPhone”原来就是传说中的“id锁”~ *****#0x002 转手我尝试了重装N遍,什么乱七八糟的爱思助手,之类的都没搞定,都是说需要激活!然后尝试跳过激活越狱。。发现也是需要先关闭这个可恶的“查找我的iPho ...

Top ↑