声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
S2-012远程代码执行漏洞
漏洞简介如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如:<package name="S2-012" extends...
CVE-2023-5044:NGINX Ingress再曝注入漏洞
随着云原生技术的广泛应用,Kubernetes已成为容器编排平台的事实标准。Ingress Controller为Kubernetes(以及其他容器化)环境的专用负载均衡器,Ingress Contr...
文末抽奖|Yakit靶场通关教程 SSRF参数多情况测试(二)
前言不知不觉Yakit靶场通关教程已经出到第6期了,牛牛感谢师傅们的一直陪伴,也期望听到更多反馈意见。在本次文章末尾会有靶场意见箱,师傅们可以提出关于靶场和教程的任何意见,我们将会从意见箱中抽取两位幸...
浅谈Apache Shiro FORM URL Redirect漏洞(CVE-2023-46750)
扫码领资料获网安教程免费&进群0x00 前言URL Redirect漏洞是一种常见的安全漏洞。一般是因为服务端未对传入的跳转url变量进行检查和控制,导致可恶意构造任意一个恶意地址...
Burp插件 | 自动化挖掘SSRF,Redirect,Sqli漏洞
工具介绍Burp插件,自动化挖掘SSRF,Redirect,Sqli漏洞,自定义匹配参数。 V1.1 添加了请求包响应包匹配选项(基于原请求响应,只有文本正则匹配,不占资源) 内置了未授权,shiro...
自动化挖掘SSRF/Redirect/Sqli插件
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把...
Burp插件 自动化挖掘SSRF,Redirect,Sqli漏洞,自定义匹配参数
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
自动化漏洞扫描 | NucleiFuzzer
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 0x01 工具介绍 NucleiFuzzer 是一个强大的自动化工具,用于检测 Web 应用程序中的 xss、sqli、ssrf、open-...
漏洞扫描工具 NucleiFuzzer(6月14日更新)
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
在登录 OAuth 流程中使用OAuth-dance方法进行帐户劫持(上)
"OAuth-dance”方法是什么?响应类型首先,你可以在OAuth-dance中使用不同的响应类型,最常见的三种是:1.代码+状态。该代码用于调用 OAuth-provider 服务器端以获取令牌...
记一次真实对国外某购物平台web漏洞挖掘
(真实世界)我的第一次真实对国外某购物平台web漏洞挖掘开放重定向 - 低危XSS - 低危这两组合起来就完全不一样一点的,个人觉得比原本高一些危害:窃取用户敏感数据、用户cookie、钓鱼操作 等…...