API漏洞挖掘2个例子 正文 第一个漏洞: 在浏览bp历史记录以查看各种请求时,发现一个与组织中用户相关的一些信息 GET /auth/api/v2/users HTTP/2 Host: api.re...
利用JS文件检查与Fuzz进行越权操作
漏洞的发现是通过检查网站源代码中的JS文件,在这些JS文件中,发现了一些可疑API端点。通过Fuzz技术来确认这些API端点的参数,并最终对高权限API端点进行越权操作。好的,让我们现在开始吧!在这个...
Web实战 | 一次空白页面的“妙手回春”嘎嘎出严重漏洞
前言某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干!过程https://x,...
【Web实战】一次空白页面的妙手回春嘎嘎出严重漏洞
扫码领资料获网安教程免费&进群前言某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪...
一次空白页面的“妙手回春”嘎嘎出严重漏洞
某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干!前言某次企业SRC的一次实战...
Risk response
Risk Responses风险应对Whether a quantitative or qualitative risk assessment was performed, there are man...
【干货】GB/T 30276-2020 网络安全漏洞管理规范
少年,我看你骨骼惊奇,必是练武奇才,将来维护宇宙正义……我这有失传已久的武林秘籍,看在咱们有缘传授给你,其中包含了各种网络安全专用词汇和术语。这部秘笈共126式,关注公众号练习起来吧!用户 user使...
CISSP考试指南笔记:8.7 安全编码
Secure coding is the process of developing software that is free from defects, particularly those th...
Parameter is null引发的一次五千漏洞赏金记录
0x01 前言Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。现在只对常读和星标的公众号才展示大图推送,建议大家能把迪哥讲事(grow...
api漏洞系列-一个越权漏洞
前言 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。主要逻辑 Fabric平台帮助你构建...
CISSP考试指南笔记:7.13 个人安全问题
The single most valuable asset for an organization, and the one that involves the highest moral and ...