1、OpenAI的起源据说OpenAI起源于2015年一场由Altman(OpenAI CEO)攒的一场饭局,参加的有包括了伊隆马斯克在内的一众大佬。聚会时聊起了AlphaGo,而AlphaGo的公仔...
利用Param Miner挖掘基于缓存中毒的XSS漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:你肯定听说过缓存中毒(Cache...
【技术干货】基于蜻蜓打造在线SQL注入检测系统
daxia@PortalLab实验室背景一般情况下我们都是使用命令行方式去调用SQLMap,但在一些场景下用界面操作SQLMap更方便,还可以保留检测结果,在一些开源项目中也发现了SQLMAP-Web...
实战 | 如何绕过注册验证并使用公司电子邮件登录
如何绕过注册验证并使用公司电子邮件登录介绍许多网站都设有仅供员工访问的注册页面,但有时您可能会绕过安全措施并以匿名用户身份登录。在本文中,我将讨论可能对您有用的不同技术和现实生活场景。首先在收集子域并...
一道pwn题解析之jarvisoj_fm
本文为看雪论坛优秀文章看雪论坛作者ID:404test在该程序中只需要判断x=4即可获得系统shell。查看发现x的值为3,同时得到x的地址为0x804A02C在printf函数中的参数可控 于是可能...
实战案例 | 通过js代码查看构造url参数登录绕过渗透
开局登录框,问题先不慌,burp抓包爆破弱口令走一下,密码是md5加密的,直接使用burp自己带的加密进行加密爆破:这里没有爆破成功,那就上目录扫描工具看看,有没有什么目录或者文件(这里我喜欢用dir...
从两个案例看APP端的智能汽车入侵风险
本文仅供参考分析学习批量控车越来越容易了么?近日木卫四汽车威胁情报系统收录到国外有两名安全研究人员发现了两个远程控车漏洞。其一,互联网车辆服务商Sirius XM 的一个授权漏洞,攻击者仅需知道车辆识...
渗透测试中常见问题的61个小tips
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步...
技术前瞻|某易路由器固件分析
找到某厂商一大堆公开固件,但是版本太多了,每个固件的加密方式不一样,能用工具解出的固件有三个型号,看到有明显对称加密如RC4的固件也尝试了一下写了个解RC4的脚本,然而解出来的什么都识别不出来,除了R...
LadonExp复现CVE-2022-24124 Casdoor SQL Injection
关于 CVE-2022-24124Casdoor 是一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,其 Web UI 支持 OAuth 2.0 / OIDC 和 SAML 身份验证。根...
记录一次万元漏洞赏金的挖掘
作者:小乳酸,转载于公众号网络安全之旅。0x01 前言 本人,一个热爱生活,热爱网络安全的小青年。在此记录自己日常学习以及漏洞挖掘中的奇思妙想,希望...
实战分享 | Post文件上传WAF Bypass总结
本文介绍的思路主要围绕针对于 POST 参数的 multipart/form-data 进行讨论。multipart/form-data 是为了解决上传文件场景下文件内容...
26