“对于未授权的测试应保持耐心,已经多次在实战中遇到不同接口不同功能处,鉴权参数有些能起到作用,但有些就是摆设,只要保持耐心和思考,就可以找到防护的最薄弱之处发现漏洞。”01—漏洞影响范围以及赏金fof...
红日ATT&CK实战系列(二)
免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!一、环境搭建参考链接:https://www.codeprj.com/blog/d3...
渗透当中常用到的搜索语法(建议保存收藏)
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 滑至文末,获取...
从信息泄露登录统一平台
前言 我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校缩写的英文字母。所以我们在找漏洞的时候可以换一种思路,先通过去找身份证信息或者是有...
记edusrc一处信息泄露登录统一平台
扫码领资料获网安教程本文由掌控安全学院 - sbhglqy 投稿前言我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校...
社工字典的针对性生成
01—问题账号密码此类问题,很多企业都会设置一个内部通用初始密码,传统的账号密码字典,越来越不适用。02—思路在线社工字典生成地址:https://www.shentoushi.top/tools/d...
工具|10个挖掘edusrc常用工具、脚本
edusrc漏洞报告平台是一个面向全教育行业的漏洞报告平台。平台旨在汇聚多方力量,帮助提升教育系统各级各类学校、单位的信息系统和网站安全性,为推进教育信息化建设保驾护航。据我所知edu最便捷的挖掘方法...