“ 遗憾!某漏洞挖掘者错失$60000微软奖金。” 国内漏洞挖掘的优秀人员M1n9K1n9在APT250自曝,由于没有对漏洞的隐秘性做好保护,因此错失了微软$60000奖金。 微软赏金计划,主要鼓励安...
记一次JS中的漏洞挖掘
声明本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!!!前言当我们...
面向JS漏洞挖掘
最近在研究怎么从JS中挖掘更多有用信息,以前在漏洞挖掘的时候没有对js进行细致的挖掘利用,在研究小程序调试解密的时候发现js文件中可获取信息的点、可挖掘漏洞的点还是很多的,花了一段时间积攒了一些漏洞场...
从SRC漏洞挖掘到红队综合利用的思路转变
红队第一期的培训已经结束,跟学员了解到一些情况,做渗透测试、挖SRC都能频频出漏洞,但并不了解如何去将漏洞深入的综合利用。在日常的渗透测试与漏洞挖掘过程中,安全研究人员往往会尽量做到点到为止,仅仅证明...
价值$3000的Google Slides IDOR漏洞
正文 某天下午,我在办公室用 Google Slides 制作演讲用的幻灯片。幻灯片完成后,我点击了“演示者视图”来预览。在活动期间,我计划与观众进行实时问答,于是上网查找 Google Slides...
AI+Security系列第4期(三):基于大模型的漏洞挖掘技术与实践
近日,“AI+Security” 系列第 4 期线下活动在北京顺利举行,主题聚焦于 “洞” 见未来:AI 驱动的漏洞挖掘新范式,吸引了众多安全领域专家参与。奇安信安全研究员尹斌先生围绕 “基于大模型的...
JWT密钥爆破浅析 - 爆破失败就是失败了么
上一篇文章中团队师傅Tai分享了一篇JWT伪造的技术文字,讲述了爆破JWT成功并伪造JWT获取网站权限的过程。师傅在分享文章时还指出了JJWT的概念,即Java中的一个JWT工具库,旨在Java中生成...
AI+Security系列第4期(三):基于大模型的漏洞挖掘技术与实践
近日,“AI+Security” 系列第 4 期线下活动在北京顺利举行,主题聚焦于 “洞” 见未来:AI 驱动的漏洞挖掘新范式,吸引了众多安全领域专家参与。奇安信安全研究员尹斌先生围绕 “基于大模型的...
记一次某企业管理系统SQL注入拿下CNVD
本文由掌控安全学院 - 小博 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、资产发现 通过漏洞挖掘过程中发现该系统存在sql注入 img...
G.O.S.S.I.P 阅读推荐 2024-12-23 那些挖漏洞的团队(伙)
今天介绍的这篇IEEE S&P 2025论文Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboratio...
EDUSRC某高校校园卡漏洞挖掘
本文提供的资料和信息仅供学习交流,不得用于非法用途;对于因使用本文内容而产生的任何直接或间接损失,博主不承担任何责任;本文尊重他人的知识产权,如有侵犯您的合法权益,请在vx公众号SecurePulse...
记一次某企业管理系统通用SQL注入挖掘
本文由掌控安全学院 - 小博 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、资产发现 通过漏洞挖掘过程中发现该系统存在sql注入 img...
65