△△△点击上方“蓝字”关注我们了解更多精彩0x00 Preface [前言/简介]在一次内部对抗中,遇到一个存储系统,开发语言为PHP,主界面可进行用户名与口令字的爆破,因此在爆破成功获取用户名与口令...
08月08日169 views评论后台
测试
某开源PHP存储系统后台文件上传漏洞分析
08月08日169 views评论后台
测试
08月08日169 views评论后台
测试
黑盒渗透功能点维度碎碎念
Ps:再次感谢sm0nk对本公众号的大力支持,原文由sm0nk首发t00ls!1 概要说明线性上理解:甲方侧重安全开发,乙方侧重黑盒渗透(当然实际是非线性),两者之间的桥梁就是功能点。以功能点维度去拓...
07月12日97 views评论功能
渗透
利用白盒与黑盒结合的方式审计某CMS
::: hljs-center ==0x01== ::: 在群里看到Ashe表哥放了几手0day,心里那个羡慕啊于是打算开始学代码审计逛CNVD的时候发现最近SDCMS的漏洞比较多,于是下手挖掘,找到...
05月06日181 views评论源码
漏洞
分享一个挖漏洞的高级黑盒技巧
分享一个挖漏洞的高级黑盒技巧 xsser (十根阳具有长短!!) | 2014-02-27 18:44 嗯,简单说将目标当成一个完整的黑盒,用虚拟机或者其他可以监控到系统与外部交互的环境里,然后对它进...
04月02日lcx41 views评论黑盒
高效漏洞挖掘之Fuzzing的艺术
目录大纲登陆漏洞逻辑漏洞XXECSRFSSRF-or-URL跳转漏洞ext总结之前写过一个比较入门的漏洞挖掘浅谈,而之后的漏洞挖掘和工作中的产品测试过程中除了白盒代码审计之外比较偏向黑盒测试/漏洞挖掘...
12月30日179 views评论fuzz
漏洞
分分钟被监听!黑产窃听器伪装成充电宝,可以远程定位和录音、行程轨迹
还记得以前在看《窃听风云》时,双方在博弈的过程中使用了窃听器,从黏在桌子下面的微型窃听器到打火机外形的窃听器,给影片增加了不少紧张的剧情和悬念。《窃听风云》打火机是窃听器然而,钉子看到一个新闻让我不在...
12月29日259 views评论伪装成
远程
记一次漏洞挖掘实战之木桶短板
客户给了个站 授权渗透客户要求:纯黑盒 无测试账号就一个登录框 忘记密码功能还是这样人直接傻了 先看看能不能爆破吧发现密码加密了好家伙 还是动态密钥验证一下发现确实 两个一样的...
12月10日328 views评论加密
密码
细思极恐:GPS定位器变身窃听器 有公司因此损失上千万
文章来源:央视网一提起窃听,很多人可能最先想到的都是谍战剧的剧情。然而,这些我们在电影电视里看到的情节很有可能就发生在我们身边。最近,北京一家安防公司就因为商业机密被窃听,企业竞标失败,蒙受了重大损失...
08月22日302 views评论app
gps
PHP代码审计
代码审计结合黑盒和白盒的方法。这里多数地方是先黑盒,发现问题之后,审计代码问题在哪以及如何解决。白盒包括使用自动化代码审计工具定位可控变量,进而逐个排查变量传入函数是否有安全问题。 &nbs...
05月14日710 views评论代码
目录
3