安全文章

记一次EDU渗透

一、前言闲着金币在edusrc里面,刚好某学校上架了新礼物,就有了这次的渗透,此文章中所有漏洞均已提交至edusrc并已经修复。二、信息泄露在url后面随便输入字符,页面报错得到框架为ThinkPHP...
admin 02月27日201 views评论url 日志
阅读全文
企业安全

员工被公司盗号邮箱钓鱼后的个人经济损失处理、员工行为风险预警合法性暨交易数据加密存储解决方案探讨 | 总第132周

0x1 本周话题TOP3话题1:各位大佬,员工因为使用公司邮箱收到被盗号的公司邮箱账号发的钓鱼邮件,扫描了钓鱼邮件的二维码而导致个人经济损失。这种个人经济损失如何处理?温馨提醒:此钓鱼邮件已多家单位收...
admin 02月07日569 views评论邮箱 钓鱼邮件
阅读全文
安全文章

项目-逻辑漏洞挖掘

一眨眼 写公众号也一年多了,内容也不是很高深,都是很基础的东西,太高深我也写不出来,还是菜。平时项目中 大多存在弱口令,未授权,序列化之类的,但逻辑漏洞这方面,也需要掌握,最多的就是短信轰炸...
admin 01月28日152 views评论密码 用户
阅读全文
安全文章

密码找回漏洞(下)

5. 重新绑定‍5.1 手机绑定案例:某邮箱可直接修改其他用户密码;某邮箱弱口令,手机绑定业务程序设计存在缺陷可导致直接修改密码。详细说明:首先注册一个 126 邮箱测试帐号;然后会跳转到一...
admin 11月06日170 views评论手机 邮箱
阅读全文
安全文章

某邮箱self-xss危害提升

前言 这是很早之前挖的漏洞了,拿出来分享一下思路吧。01挖掘过程 漏洞产生于,邮箱中的日历提醒处。这里未做任何任何过滤,设置好提醒时间,到点邮箱中便收到了提醒邮件,同时触发了XSS然后我就直...
admin 10月12日79 views评论xss 邮箱
阅读全文
安全文章

WebVPN弱口令引发的内网沦陷

WebVPN某次项目,通过信息搜集发现目标一处WebVPN通过组合口令跑出一个弱口令wangym/wangym@2019能访问的系统比较少,查看js文件获取到WebVPN转发URL的加密方式,尝试对内...
admin 09月25日396 viewsWebVPN弱口令引发的内网沦陷已关闭评论口令 邮箱
阅读全文