免责声明本文提供的信息仅供学习使用,使用、传播本文信息所造成的后果和损失,一旦造成后果请自行承担,本公众号及作者不为此承担任何责任。本文如有侵权烦请告知,公众号会及时删除本文。一、简介openEAP开...
实战SRC | api接口未授权 + 越权漏洞
本文由掌控安全学院 - zxl2605 投稿 一次在fofa上通过学习的fofa语句进行查询,无意中查询到了一个网址其登录界面如下: 使用浏览器的F12打开开发者工具,查看JS寻找接口:从JS代码中查...
记一次某项目内外网渗透测试过程
声明:由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵...
代码审计:某S通未授权JDBC反序列化漏洞
需要配置mysql数据库依赖 这段代码是一个 HttpServlet 类的 doPost 方法,用于处理 POST 请求。在这个方法中,首先从请求参数中获取名为 “command” 的参...
教学视频应用任意文件上传
Avcon综合管理平台 avcon接口存在SQL注入00漏洞概述AVA 教学视频应用云平 VideoCover接口存在任意文件上传漏洞,可未授权上传脚本文件。01空间搜索语法fofabody="YK_...
记一次针对某学校系统的SRC挖掘
0x01 仿真平台任意用户密码重置及信息泄漏 首先存在一个小小的用户名枚举: 点击忘记密码,输入不存在用户名,点击获取验证码,提示验证失败: 输入存在用户,点击获取验证码提示验证码已发送: Burp中...
实战:一个csrf和若干未授权
No.0前言由于本人极其擅长水洞,所以今天总结一些水洞技巧分享给大家No.1某SRC平台存在CSRF漏洞在A账户中点击删除用户地址,开启抓包点击删除,抓取数据包,尝试CSRF构造在数据包中发现删除是通...
实战| 接口未授权导致的信息泄露
本文由掌控安全学院 - blueaurora 投稿 0x01系统初探 通过fofa对大学进行搜索 fofa:host="edu.cn" && status_code=...
金蝶天燕未授权远程代码执行漏洞风险通告
金蝶天燕未授权远程代码执行漏洞风险通告 漏洞描述 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件...
AVA 教学视频应用云平 VideoCover 任意文件上传
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次...
JumpServer 堡垒机未授权综合漏洞利用
blackjump 介绍 JumpServer 堡垒机综合漏洞利用 未授权任意用户密码重置 (CVE-2023-42820) 未授权一键下载所有操作录像 (CVE-2023-42442) 安装 pyt...
ElasticSearch未授权工具
微信公众号:[小白安全工具] 分享安全工具与安全漏洞。问题或建议,请公众号留言。该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。漏洞...
24