对某微信小网站的逻辑漏洞挖掘目录○ 前言○ 漏洞挖掘过程 ◇ 网站主页 ◇ 1.ID遍历,逻辑越权 ◇ 2.泄露的wx配置文件○ 声明前言NO.1微信中有很多有趣的小游戏和互动网站,...
实战 | 一次证书站逻辑漏洞挖掘
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。还在学怎么挖通用漏洞和src吗?快来加入星球~私聊有优惠由于微信公众号推送机制改变了...
一次证书站逻辑漏洞挖掘
北京大学某站存在修改任意账号密码重置逻辑漏洞 漏洞URL地址: http://***.***.edu.cn/?page=login 测试账号1:1355700**** 测试密码1:My****** 测...
虚拟号码场景下的逻辑漏洞挖掘(全网原创首发)
引言由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅)一、漏洞分析这里要讲的虚拟...
虚拟号码场景下的逻辑漏洞挖掘(全网原创首发)
引言由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅)一、漏洞分析这里要讲的虚拟...
逻辑漏洞挖掘 | 对某某招商网的一次渗透
扫码领资料获网安教程本文由掌控安全学院 - 高粱红 投稿开局一个登录框:发现登陆点,逻辑漏洞的姿势不断在脑海反反复复,说干就干看到验证码,尝试绕过重复发包后,发现可以重复利用事情简单了起来,上字典,手...
记一次EDU证书站的逻辑漏洞挖掘
前言 这里是当初挖edu的第一个证书站,因为找的比较仔细才发现的这个接口。并且这是一个逻辑漏洞,在实战中还是比较多的,也是比较难修复的漏洞。大家可以在实战中多挖掘这类的漏洞,祝各位师傅都能挖到自...
逻辑漏洞挖掘
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任...
web密码加密导致任意用户登录-逻辑漏洞挖掘
前言 在渗透的时候,我们总是会遇到一些困难例如说,登录的时候账号密码都加密了或是说,账号密码被加密成了一段...
记一次实战逻辑漏洞挖掘-逻辑缺陷
点击蓝字关注我们前言声明:这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC...
某中医药大学的逻辑漏洞挖掘
闲暇之余,当我漫无目的的在互联网搜索的时候,一个目标吸引了我的注意,本着随手注册一个账号的情况下,在目标系统进行了注册,该系统对注册的信息不进行任何校验,理论...
记一次edu逻辑漏洞挖掘从无到有
闲来无事 康康能不能捡漏挖个证书站看到一个xx通行码平台直接弱口令,xss,sqlmap一顿操作可惜并无卵用 最后看了下js 发现是前端鉴权 应该有逻辑漏洞由图可知当返回包的urole参数为...