本文由掌控安全学院 - 不知江月待何人 投稿 前言 最近在整理本地一些文档,某站Webpack打包,简单看看。 打点 目标站点太明显,一个语法直接出了 初始密码:*111111 有了初始密码就比较顺畅...
04月05日16 views评论zh
用户信息
漏洞挖掘 | 某高校打包
04月05日16 views评论zh
用户信息
04月05日16 views评论zh
用户信息
逻辑越权漏洞-水平越权+垂直越权
漏洞产生原理逻辑越权漏洞就是不同用户之间操作权限的请求数据包没有做验证或验证不完整,导致用户A修改了身份验证的标志后,就有了同权限或高权限的操作权限。通常用户访问一个应用的大致流程是:登陆—验证权限—...
03月25日10 views评论水平越权
越权漏洞
PIkachu-越权练习
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 ——Draem一、越权漏洞1、越权漏洞基础(1)定义...
03月22日5 views评论pikachu
越权漏洞
前端篡改伪造数据+不严谨的认证流程缺陷
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
01月25日14 views评论nick
水平越权
一文通关水平越权漏洞「文末有彩蛋」
越权作为SRC中最常见的漏洞,今天让我们来学习一些SRC中实战的越权案例以及一些越权漏洞挖掘的小技巧。 越权分为「水平越权」和「垂直越权」,在某些概念上,也包括「权限绕过」。 水平越权的概念:「权限相...
10月17日51 views评论id
账号
一文通关水平越权漏洞「文末小彩蛋」
越权作为SRC中最常见的漏洞,今天让我们来学习一些SRC中实战的越权案例以及一些越权漏洞挖掘的小技巧。越权分为「水平越权」和「垂直越权」,在某些概念上,也包括「权限绕过」。水平越权的概念:「权限相等者...
10月17日8 views评论水平越权
越权漏洞
渗透实战 | 某高校支付系统存在水平越权获取身份证号码问题
警告本案例中所有内容均已授权上报,不会公开详细EXP代码,该案例仅供学习。一张二维码引发的信息泄露从该截图中获取到的信息输入的身份证号(怎么会发生身份证泄露呢?)可扫描的二维码缴费进入站点无从入手先抓...
08月13日24 views评论渗透实战
身份证
[渗透测试实战]某高校支付系统存在水平越权获取身份证号码问题
警告 本案例中所有内容均已授权上报,不会公开详细EXP代码,该案例仅供学习。 一张二维码引发的信息泄露 从该截图中获取到的信息 输入的身份证号(怎么会发生身份证泄露呢?) 可扫描的二维码 缴费 进入站...
08月06日16 views评论渗透测试
身份证
实战中常见的逻辑漏洞
0x01 未授权 未授权问题为普通用户登录或没有登录后,拼接js接口,构造报文,越权实现管理员的权限操作。原因:后端没有校验Cookie/Session的身份信息,以至于普通用户的权限可以实现管理员权...
07月05日37 views评论js
信息
实战中get的一个新姿势-逻辑漏洞(flower安全日志)
前言:是在漏洞盒子挖企业洞的时候发现的,对我来说是此前没遇到过的如果有遇到过的大佬请忽略(漏洞已提交修复)1,确定要挖的企业资产下面列出了车企的资产,这边不放了,直接写过程吧搜索资产搜索到了一个用户登...
07月05日35 views评论水平越权
逻辑漏洞
SRC之越权漏洞案例
点击关注公众号,知识干货及时送达👇越权漏洞简介越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客...
06月06日115 views评论参数
越权
对一个招聘网站的渗透测试(百花齐放)
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。宝子们现在只对常读和星标的公众号才展示大图...
05月24日44 views评论sql注入
渗透测试