前言声明:这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享...
10月20日20 views评论graphql
漏洞挖掘
漏洞挖掘姿势-通过未被净化的参数获取账户密码
10月20日20 views评论graphql
漏洞挖掘
10月20日20 views评论graphql
漏洞挖掘
GraphQL黑客:如何使用简单的探测获得$1000赏金
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
10月16日7 views评论graphql
kind
换行绕过内省查询敏感参数越权删除用户
前言 声明:这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享等等,资源多多,干...
10月12日7 views评论graphql
端点
CSRF+GraphQL的奇妙组合
Portswigger练兵场之GraphQL APICSRF+GraphQL修改邮箱Lab: Performing CSRF exploits over GraphQL实验前置必要知识点首先我们要清楚...
08月31日41 views评论csrf
内容
GraphQL中api漏洞
正文 通常graphql接口位于类似 www.example.com/graphql 的地方 这里的接口如下所示:(其实这种情况在国外的网站经常会看到) 首先,检查一下目标是否启用了自省模式(可以参考...
08月28日47 views评论de
graphql
技术专题:API资产识别大揭秘(一)
xxhzz@PortalLab实验室在API安全威胁不断加剧、多样化,数字化系统面临着巨大的安全挑战背景下,企业必须积极构建API安全能力。而企业API安全防护的首要任务是API资产进行清晰了解和有效...
08月16日12 views评论api安全
端口扫描
burp_2023.9专业版中文破解_开箱即用
burp2023.9更新内容 谷歌机翻 此版本引入了新的 Repeater 功能,该功能基于 James Kettle 的演讲“粉碎状态机:网络竞争条件的真正潜力”中讨论的技术,该演讲首...
08月12日115 views评论burp
scanner
GraphQL API 漏洞
GraphQL 漏洞通常是由于实现和设计缺陷而产生的。例如,内省功能可能会保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数...
08月11日58 views评论graphql
端点
什么是 GraphQL?
GraphQL 是一种 API 查询语言,旨在促进客户端和服务器之间的高效通信。它使用户能够准确指定他们想要在响应中包含哪些数据,从而有助于避免有时在 REST API 中出现的大型响应对象和多次调用...
08月07日安全百科16 views评论rest
定义
漏扫哒哒哒哒:Invicti-Professional-v23.7_windows破解版
z最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法: 给公众号设为星标 加入交流群”棉花糖娱乐圈圈圈“也能第一时间获得推送噢 老群“棉花糖娱乐圈圈“已经被封 由于公众号经常被...
08月03日76 views评论破解版
身份验证
burp_2023.5专业版中文破解_开箱即用
版本内容 此版本引入了在 Intruder 中重用 HTTP/1 连接、在使用硬件令牌和智能卡进行身份验证时指定中间 CA 证书、安全打开第三方项目文件以及在 Repeater 中设置自定义 SNI ...
07月30日24 views评论burp
scanner
大佬怒赚万$-通过GraphQL API实现存储型XSS到账户接管(ATO)的攻击
去年底在HackerOne的一次LHE(由于时间非常紧迫,这只在后面才变得重要),我在一个主要品牌的网站上发现了一个非常具有挑战性的漏洞,涉及多层利用,最终导致一个存储型XSS payload能够通过...
07月07日安全文章79 views评论payload
xss
6