安全文章

实战Src越权漏洞挖掘

No.0前言无需登录就可以获取****申请信息,包括但不限真实姓名,手机号,简历,公司等铭感信息。可通过遍历获取所有已申请用户的敏感信息(几千条)发现上万条企业信息泄露,请见文章最后步骤7,(可以批量...
阅读全文
安全文章

JBOOS渗透复盘记录

逛先知社区的时候发现(https://xz.aliyun.com/t/9477)一篇文章,刚好闲来无事,打算复现一波,FOFA找了几个点后,成功的找到了一个存在漏洞的站点,我以为这次练手会是一帆风顺,...
阅读全文
安全文章

URL发现数据清洗

0x00 前言首先,解释一下什么是URL发现数据。目前很多甲方公司都已经部署或者正在部署全流量分析平台,用于安全威胁识别,用户行为分析(UBA)、资产发现等等。在资产发现的过程中,我们有效地发现了许多...
阅读全文