记一次微信小程序渗透测试 安全文章

记一次微信小程序渗透测试

作者:Matrix ,来源于先知社区前言本次小程序漏洞挖掘比较基础,第一次写文章,有不足的地方麻烦师傅们指点一下。正文目标小程序已上线,但仅能申请后内部员工使用,是一个廉政答题小程序。打开小...
阅读全文
如何在浏览器中存储会话令牌 安全文章

如何在浏览器中存储会话令牌

最近有一条关于OWASP ASVS的提议变更的推文引发了一场激烈的争论,并且挑战了我在构建和设计单个页面应用程序时对存储会话令牌的不同策略的理解。虽然以前有很多关于这方面的文章,但我也有了自己的研究。...
阅读全文
脆弱目标获取工具v1.3 demo 安全工具

脆弱目标获取工具v1.3 demo

之前用易语言写过一个,有很多朋友问修复一下接口,然后用python重新写了脆弱目标获取工具重置修复了一下接口,想把主流的资产搜索产品都添加上去。开发编程语言:python什么是脆弱目标获取工具?脆弱目...
阅读全文
聊聊API网关的作用 安全闲碎

聊聊API网关的作用

在这篇文章中将我们一起来探讨当前的API网关的作用。API网关的用处API网关我的分析中会用到以下三种场景。Open API。企业需要将自身数据、能力等作为开发平台向外开放,通常会以rest的方式向外...
阅读全文
激活用户小工具 安全工具

激活用户小工具

前言在渗透测试工作中,我们偶尔可能会遇到需要激活guest等用户的操作,所以编写了该工具,进行方便使用。基本命令如下:net user guest /active:yes编写工具这里我们用到netus...
阅读全文
API越权风险检测方式浅谈 安全文章

API越权风险检测方式浅谈

0x01 前言越权漏洞相较于SQLInject、XSS、SSRF等漏洞,最大的不同点在于该漏洞和权限的架构设计具有强相关性,而权限的架构设计又强依赖业务属性,这就导致了几乎每个系统的权限架构都各不相同...
阅读全文