0x00 起因几个月在hackerone上挖掘某高赏金厂商,走了一遍业务点后,偶然发现http history里面有个graphql的接口于是一场坐牢之旅开始了0x01 前置知识与内省查询不了解gra...
burpsuite pro 2023.6安装与破解
本文我们简单说说burpsuite pro 2023.6 此版本的安装和破解吧!如果没有特殊要求,我们可以在kali中直接运行此工具。 安装环境 windows11 java 19.0.2 新版功能 ...
GitLab Graphql邮箱信息泄露
生活不能等待别人来安排,要自已去争取和奋斗;而不论其结果是喜是悲,但可以慰藉的是,你总不枉在这世界上活了一场。 构造payload数据包 POST /api/graphql HTTP/1.1 {"qu...
最新超劲爆 | BurpSuite_Pro_2023.6
01前言 BurpSuite 2023.6 自2022.12至少需要JDK17才可启动 Burp 更新内容 此版本引入了 BChecks,它们是自定义扫描检查。它还改进了 Burp Scan...
一个由“API未授权漏洞”引发的百万级敏感数据泄露
2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。Leo下载APP进行测试后,发现该医...
【安全记录】玩转GraphQL - DVGA靶场(下)
上篇文章介绍了GraphQL靶场的一些基本漏洞:https://mp.weixin.qq.com/s/WoHEC50u7KACLLafZL5tww本篇继续介绍该靶场的一些漏洞。3. 代码执行3.1 i...
【漏洞通告】Gitlab GraphQL任意Runner添加漏洞(CVE-2023-2478)
>>>> 漏洞名称:Gitlab GraphQL任意Runner添加漏洞(CVE-2023-2478)>>>> 组件名称:Gitla...
漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
长亭漏洞风险提示 Gitlab CE&EE GraphQL添加恶意Runner漏洞G...
漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
长亭漏洞风险提示 Gitlab CE&EE GraphQL添加恶意Runner漏洞G...
GraphQL渗透测试详解
GraphQL介绍GraphQL概述GraphQL 是一种查询语言,用于 API 设计和数据交互。它是由 Facebook 发布的一款新型的数据查询和操作语言,自 2012 年起在内部使用,自 201...
Graphicator:一款功能强大的GraphQL枚举与提取工具
关于Graphicator Graphicator上一款功能强大的GraphQL枚举与提取工具,该工具可以对目标GraphQL节点返回的内部文档进行迭代,然后以内部形式重新构建数据模式,以便重新创建支...
SQL 盲注大赚一笔:如何利用 GraphQL 漏洞赢得 3500 美元赏金奖励
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:目标是一个私人邀请项目,该项目在...
6