背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...
Vue引入vue-router路由并通过vue-wechat-title设置页面title
对于用类似Vue前后端分离技术架构的单页应用页面之间的跳转没有非前后端分离那么来得直接,甚至连设置跳转页面的Title都要费一番周折,本文介绍Vue引入vue-router路由并设置页面Title,通...
一个戴姆勒漏洞引发的思考
背景 最近看到一个简单漏洞报告,结合之前事情引发了一些思考 漏洞记录 漏洞很简单,一个未授权 通过篡改参数,泄露一些机密文件,有一些文件明确标记为机密,仅供梅赛德斯-奔驰经销商管理层查看。还有一些文件...
记一次某次测试从前台登录页到渲染后台功能
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
某次测试从前台登录页到渲染后台功能
免费&进群某次测试目标仅给了一个后台系统某次测试目标给了一个后台系统1.后台权限获取打开一看,平平无奇的后台系统,也没有提供测试账号,爆破了一番弱口令未果,尬住。也遇到过很多这种只有一个登录页...
Vulhub靶场 - Deathnote
01 信息收集首先还是namp扫描存活IP发现118.134主机存活,详细扫描一下,发现开放80和22端口访问一下80端口,发现访问后会自动跳转到一个url:“http://deathnote.vul...
vulnhub之Misdirection靶机渗透(web渗透、反弹shell、提权)
目录 一、信息收集 二、web渗透 三、反弹shell 四、用户提权 五、root提权 一、信息收集 拿到靶机后,老规矩,使用nmap进行详细扫描,这里我的kali本机ip是192.168.138.1...
实战案例 | 利用SpringBoot相关RCE漏洞拿下某数字化平台系统
前言 在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发...
Android 居然还能这样抓捕和利用主线程碎片时间
图片来自:https://unsplash.com 在 Android 应用开发过程中,我们会将一些耗时任务放在子线程进行处理,从而避免出现主线程卡顿的情况。但是不可避免的,依然会出现有些任务必须要在...
找twitter某人邮箱的方法
很多有关推的需求都是找绑定邮箱和常用邮箱,算是有难度且不稳定的要求,暂时也没什么0day或接口能用(出现的话时效性一般比较低,一般是用于比较棘手和滞留的项目等待机会),但其实还是有一些方式方法可以达到...
FBI取缔世界第二大勒索软件并发布解密工具,双方正在争夺网站控制权
2023年12月19日,美国司法部正式宣布破坏了BlackCat勒索软件的运作,并发布了一款解密工具,使得全球超过500名受害者能够恢复该恶意软件加密文件的访问权限。 BlackCat(又称ALPHV...
网络安全基础技术扫盲篇 — 常见web漏洞之XSS跨站脚本攻击
知识宝库在此藏,一键关注获宝藏首先我们了解一下原理,XSS(Cross Site Scripting)跨站脚本攻击用一句话概括就是用户输入的数据被当做前端代码执行。在Web应用中,前端代码主要包括HT...
53