正文目标为target.com,创建一个帐户并以正常的方式登录。浏览至 /profile页面(个人信息中心),尝试了很多攻击,如CSRF, SQL注入和XSS,但没啥发现。试图更改电子邮件地...
10月26日10 views评论xss
访问控制
访问控制不当所导致的会话劫持
10月26日10 views评论xss
访问控制
10月26日10 views评论xss
访问控制
如何使用google发现信息泄露
如何使用google发现信息泄露正文目标为redacted.com所使用的语法为:site:redacted.com index of /backupsite...
10月16日10 views评论redacted
信息泄露
如何利用谷歌标签管理器来查找敏感信息
正文这是利用谷歌标签管理器来查找敏感信息的简单方法。使用的语法如下:“inurl:gtm.js:id”在这个js页面中,我发现了另一个有趣的Google标签管理器ID,该ID别有洞天,其中包含敏感信息...
10月13日14 views评论漏洞赏金猎人
管理器
使用某歌绕过登陆页面
使用某歌绕过登陆页面正文步骤1:使用某歌语法: intext:"index of" downloads" site:*.*用于索引一些敏感性的文件,如config.php,database....
10月13日8 views评论漏洞赏金猎人
登陆页面
由于身份验证泄露而导致的后端接管
由于身份验证泄露而导致的后端接管正文目标网站是 target.com。做了一个NMap扫描,发现了以下内容:端口 80,443,22 已打开,因此这里只能使用 http/https 服务器播...
10月06日20 views评论漏洞赏金猎人
身份验证
一次绕过付费的经历
正文 在某简历平台制作了一份简历之后,点击下载,弹出了一个需要专业账户的信息(就是要你花钱冲会员啦) 仔细思考一下,“他们怎么区分谁是专业用户,谁不是?”还有,免费版简历上还会有他们的应用品牌。 使用...
09月30日34 views评论id
视频
自动fuzz api接口
正文针对webpack站点取网站JS文件,分析获取接口列表,自动结合指标识别和fuzz获取正确api根,可指定api根地址(针对前后端分离项目,可指定后接口地址),根据有效api根组合首先取到的入口进...
07月15日54 views评论fuzz
webpack
一次赚取500美元漏洞赏金的经历
准备攻击者环境 利用burpsuite去拦截所有的请求包,进行fuzz,对参数进行增删查改,来测试是否存在一些安全隐患。 寻找漏洞 读取 burp 中的所有 http 历史记录 我注意到其中一个请求有...
06月28日26 views评论视频
赏金
漏洞赏金猎人的十大必备工具
漏洞赏金猎人是一个工具密集型的职业。猎人们往往囤积了大量趁手的“武器”来搜寻软件、Web应用程序、网站、硬件和基础设施中的弱点和漏洞。本文将推荐漏洞赏金猎人必备的十大工具:10HackBarHackB...
05月18日89 views评论burp
fuzz
如何利用GPT进行BugHunting(下)
正文接昨天的内容,继续:提示词的注意点现在我已经提到了一些技巧,但这并不意味着它们每次都会起作用。请不要相信我提供的技巧将永远有效。这取决于各种因素。他们之中有一些是:问题的具体措辞:问题中可能有一些...
05月05日33 views评论chatgpt
视频
漏洞赏金猎人开源工具集合
公开收集的一个国外白帽子用的比较多的开源工具列表,仅供参考。 PS:Go语言是越来越流行了 获取工具列表 链接:https://pan.baidu.com/s/1hdjMoeCqTmdQtiTyia2...
04月24日50 views评论白名单
白帽子
前沿实战 | ChatGPT在黑客活动中的终极利用 2
漏洞赏金和渗透测试是网络安全领域的重要组成部分,ChatGPT的出现大大增强了赏金猎人和渗透测试人员的工作效率。ChatGPT 是由 OpenAI 推出的强大语言模型。它具有理解和生成自然语言文本的能...
02月10日74 views评论xss
渗透测试
4