代码审计

记一次实战中的代码审计

漏洞挖掘 开局登陆框并且验证码还有效,通过验证码识别在进行爆破效率低,爆破账号密码这条路就先放着最后。 在网页源代码找到一段注释的代码。通过给的链接查看发现这个代码几年都没有更新了,八九不离十都存在漏...
阅读全文
安全文章

记一次实战从0到1漏洞挖掘

漏洞挖掘 开局登陆框并且验证码还有效,通过验证码识别在进行爆破效率低,爆破账号密码这条路就先放着最后。 在网页源代码找到一段注释的代码。通过给的链接查看发现这个代码几年都没有更新了,八九不离十都存在漏...
阅读全文
安全文章

宝塔 WAF 最新版 RCE 0Day 漏洞,可直接获取 root 权限 - FreeBuf网络安全行业门户

最近开源社区好像特别流行 WAF,到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。我也是宝塔面板的四五年的老用户了,几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了...
阅读全文