来自 @GamerNoTitle 的各种动态的发布频道,群聊在 @DohnaNyan,私聊请发送至 @PaffCreamPMBot

内群 https://t.me/+qYXa7ES7GPc0ZD

嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)

Github: https://github.com/GamerNoTitle
Twitter: https://twitter.com/GamerNoTitle
Website: https://bili33.top
GNT.Channel.name = 开源摸鱼社💤
#CTF #CCSSSC2025 #线下赛 被打爆了😭 真不会啊,还好没爆零
#CTF #CCSSSC2025 #线下赛 好像前 19 晋级?那可能还真有决赛?(待确认
CTF CCSSSC2025 线下赛
Next.js曝严重安全漏洞CVE-2025-29927,漏洞评 9.1/10, 开发者需尽快升级修复

近日,Next.js 官方发布安全公告,披露其中间件系统中存在一个严重的授权绕过漏洞,编号为 CVE-2025-29927。该漏洞允许攻击者通过构造特殊请求,绕过中间件的安全检查机制,获取对受保护资源的未授权访问权限。这一漏洞对依赖中间件进行身份验证和授权控制的Web应用构成重大安全风险。

该漏洞影响以下版本的 Next.js:
• 14.2.25 之前版本
• 15.2.3 之前版本

尤其是那些在中间件中执行授权检查、但未对 x-middleware-subrequest 请求头进行验证的应用,风险尤为严重。

漏洞原理

Next.js 的中间件通常用于拦截 HTTP 请求,执行访问控制等安全策略。然而,攻击者可在请求中伪造 x-middleware-subrequest: true 请求头,中间件若未进行适当校验,便可能直接放行请求,从而绕过安全校验逻辑。


攻击方式示例

攻击者可构造如下请求实现绕过:

GET /protected-route HTTP/1.1
Host: vulnerable-app.com
x-middleware-subrequest: true

若中间件未拦截或校验此请求头,系统将可能错误地授予访问权限。


修复建议

Next.js 已在以下版本中修复该漏洞:
• 14.2.25
• 15.2.3

建议开发者立即升级至最新版本。若短期内无法完成升级,可通过在中间件中添加如下逻辑实现临时防护:

export function middleware(request: NextRequest) {
if (request.headers.has('x-middleware-subrequest')) {
return new Response('Unauthorized', { status: 401 });
}
return NextResponse.next();
}

检测与防御

开发者可通过监控 HTTP 请求日志,识别是否存在可疑请求头 x-middleware-subrequest,例如:

GET /protected-route HTTP/1.1 200 - x-middleware-subrequest: true

建议结合日志分析工具设置告警规则,及时发现潜在攻击行为。


ZeroPath |GitHub

📮投稿 ☘️频道 🌸聊天
#CTF #CCSSSC2025 #线下赛 被打爆了😭
真不会啊,还好没爆零
CTF CCSSSC2025 线下赛
#日常 这是来刺探敌情的嘛?明天开打了
日常
GNT.Channel.name = 开源摸鱼社💤
Photo
#视频 既然群友们来不了,就云旅游吧
【《守护解放西》 第1集 守护不打烊-哔哩哔哩纪录片】https://www.bilibili.com/bangumi/play/ep284046
视频
#日常 臭豆腐,好吃~
日常
#日常 刚刚看到个哈次捏米库
日常
#日常 啊?十六进制(只有十位是)的红绿灯?
日常
#日常 在长沙还能看到粥粥联动
日常
#更新 本次比赛的 WP
https://bili33.top/posts/CTF-Hongminggu2025-Preliminary-round-Writeup/
GamerNoTitle
2025 数字创新中国大赛数字安全赛道时空数据安全赛题暨三明市第五届“红名谷”杯大赛初赛 Writeup (TEAM Volcania)
MISC异常行为溯源 | @Luminoria @Ron 某企业网络安全部门人员正在对企业网络资产受到的攻击行为进行溯源分析,该工作人员发现攻击者删除了一段时间内的访问日志数据,但是攻击者曾传输过已被删除的访问日志数据并且被流量监控设备捕获,工作人员对流量数据进行了初步过滤并提取出了相应数据包。已知该攻击者在开始时曾尝试低密度的攻击,发现未被相关安全人员及时发现后进行了连续多日的攻击,请协助企业排
更新
#CTF #红名谷2025 结束哩,1310人(三人赛)我们能排 88 不错了
CTF 红名谷2025
#吐槽 我的关注点居然是:iPhone 没有2😂
吐槽
iPhone相机进化史!

📮投稿 ☘️频道 🌸聊天
#吐槽 这蓝桥杯这么抽象嘛
吐槽
#群友逆天语录 只不过是心中渴望成为猫娘的幻想罢了
群友逆天语录
#日常 趁着这几天出去比赛拍点照片,回来当 ADCTF 2025 的 OSINT 题😂
日常
GNT.Channel.name = 开源摸鱼社💤
#更新 添加了一个新 flag,但不是显式的,需要动用一点小手段 建议多翻翻,或者看一看有什么地方的权限被放开了🤔(这是一道 MISC 题) 顺带添加了 whoami 和 env 命令,但是 env 有点问题,明天修(与 env 无关) 卡关的或者不确定的可以 call @PaffCreamPMBot ,看到了或许会推你一把(前提是睡醒了然后看到了,但这题其实没难度)
#更新 #吐槽 人怎么能捅这种低级篓子……估计是手残按到了一个 c 导致的
更新 吐槽
#视频 大半夜的给我看乐了
【迷宫闯关吃饭-哔哩哔哩】 https://www.bilibili.com/video/av114041196381513
视频
GNT.Channel.name = 开源摸鱼社💤
#日常 #码 把404页面改了,有空的可以去玩玩,里面藏有3个flag 访问 https://bili33.top 的任意一个不存在的页面就可以看到本终端了 例如 https://bili33.top/114514
#更新 添加了一个新 flag,但不是显式的,需要动用一点小手段
建议多翻翻,或者看一看有什么地方的权限被放开了🤔(这是一道 MISC 题)
顺带添加了 whoamienv 命令,但是 env 有点问题,明天修(与 env 无关)
卡关的或者不确定的可以 call @PaffCreamPMBot ,看到了或许会推你一把(前提是睡醒了然后看到了,但这题其实没难度)
更新
Before
After
Back to Top