Tim@PortalLab实验室背景2022 年 11 月正式掌管 Twitter 的马斯克发推批判 Twitter 开发团队:Twitter 因批量执行 RPC 调用,导致非美国地区的用户访问延迟较...
漏洞赏金猎人笔记-GraphQL-IV
漏洞赏金猎人笔记-GraphQL-IV声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言...
漏洞赏金猎人笔记-GraphQL-I
GraphQL为了方便理解,这里从一个例子出发来理解GraphQL通常情况下,当你想获取有关书籍和作者的详细信息时,用REST API的风格写为:/api/books/api/authors如果用Gr...
漏洞赏金猎人笔记-GraphQL-II
漏洞赏金猎人笔记-GraphQL-II声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言...
API Security 思维导图
最近API安全概念停火的,正好前一阵在Twitter上看到一个API安全的思维导图,感觉很全面,在这里稍微总结下。API Securityhttps://dsopas.github.io/M...
GraphQL注入笔记原创
官方文档 GraphQL 是 Facebook 开发的一种 API 的查询语言,与 2015 年公开发布,是 REST API 的替代品。 GraphQL 既是一种用于 API 的查询语言也是一个满足...
Apache Skywalking <=8.3 SQL注入漏洞复现
0x01 漏洞简述Apache Skywalking 是专门为微服务架构和云原生架构系统而设计并且支持分布式链路追踪的APM系统。Skywalking历史上存在两次sql注入漏洞,CVE-2020-9...
API NEWS | API 安全测试资源(附思维导图)
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。本周,我们带来的分享如下:API 测试清单针对渗...
最新Netsparker6.3.3.34686破解
0x01 Netsparker更新介绍 Netsparker6.3.3.34686版本发布于2022年2月14日,其中实施新的Log4j攻击模式和UGraphQL导出的报告添加参数类型。 0x02 N...
【创宇小课堂】渗透测试-GraphQL测试小结
前言某次项目中遇到graphql,感觉之前没有系统的总结学习过,所以补充记录一下- 个人感觉就是一个ORM框架GraphQL 是 Facebook 开发的一种 API 的查询语言,与 2015 年公开...
使用BatchQL对GraphQL安全性进行检测
关于BatchQLBatchQL是一款功能强大的GraphQL的安全审计工具,可以通过执行Batch GraphQL查询和输入变异数据来了解目标GraphQL应用的安全情况。该工具基于Python开发...
GitLab Graphql邮箱信息泄露漏洞 CNVD-2021-14193
一:漏洞描述🐑GitLab中存在Graphql接口 输入构造的数据时会泄露用户邮箱和用户名二: 漏洞影响🐇GitLab 13.4 - 13.6.2三: 漏洞复现🐋转CNVD的时...
6