restful | CN-SEC 中文网

安全文章

技术专题：API资产识别大揭秘（一）

xxhzz@PortalLab实验室在API安全威胁不断加剧、多样化，数字化系统面临着巨大的安全挑战背景下，企业必须积极构建API安全能力。而企业API安全防护的首要任务是API资产进行清晰了解和有效...

08月16日12 views评论

阅读全文

安全文章

记一次最终被忽略的graphql漏洞挖掘经历

0x00 起因几个月在hackerone上挖掘某高赏金厂商，走了一遍业务点后，偶然发现http history里面有个graphql的接口于是一场坐牢之旅开始了0x01 前置知识与内省查询不了解gra...

07月05日100 views评论

阅读全文

安全文章

GraphQL渗透测试详解

GraphQL介绍GraphQL概述GraphQL 是一种查询语言，用于 API 设计和数据交互。它是由 Facebook 发布的一款新型的数据查询和操作语言，自 2012 年起在内部使用，自 201...

05月06日28 views评论

阅读全文

安全开发

从头完成一个 Restful API 服务

今天一起来通过 Flask 快速完成并部署一个 Restuful 服务，不要轻易走开哦01.框架概要先来看看大致的代码框架这里说明下，这套代码结构是参照经典flask书籍《Flask Web Deve...

10月07日32 views评论

阅读全文

安全文章

【漏洞复现】Couchdb系列漏洞复现

前言CouchDB 是一个开源的面向文档的数据库管理系统，可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Clu...

10月01日74 views评论

阅读全文

HTCF部分Writeup

杂项签到首先我们拿到流量包，在这里按照包长度排序一下就能找到用来加密的python脚本以及加密后的flag。接下来，我们将flag用base64解密，然后直接使用脚本的decrypt函数就可以恢复...

09月01日安全博客59 views评论

阅读全文

安全文章

Empire之Starkiller

　　Starkiller是BC Security团队为Empire构建的一款利用VUE图形化界面工具，利用其RESTful API功能完成对Empire使用，方便渗透测试人员的使用。其项目地址为：ht...

01月29日439 views评论

阅读全文

安全文章

XXL-job 执行器 RESTful API 未授权访问RCE

漏洞复现看到发漏洞公告是 RESTful API 未授权，去官网搜了一下使用手册，总共有两种 RESTful API，一个调度中心 RESTful API，一个执行器 RESTful API。测试...

01月28日697 views评论

阅读全文

漏洞时代

CouchDB未授权访问导致执行任意系统命令漏洞

from:安全脉搏CouchDB 是一个开源的面向文档的数据库管理系统，可以通过 RESTful JavaScript Object Notation (JSON) API 访问。...

01月01日343 views评论

阅读全文

技术专题：API资产识别大揭秘（一）

记一次最终被忽略的graphql漏洞挖掘经历

GraphQL渗透测试详解

从头完成一个 Restful API 服务

【漏洞复现】Couchdb系列漏洞复现

HTCF部分Writeup

Empire之Starkiller

XXL-job 执行器 RESTful API 未授权访问RCE

CouchDB未授权访问导致执行任意系统命令漏洞

在线咨询

微信