1免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测。2前言给大家介...
实战 | 一次简单的测试
扫码领资料获网安教程免费&进群本文由掌控...
经验分享|记一次bc站实战
初遇难题发现一个bc站先尝试打一下主站先尝试目录扫描看能不能发现一些后台之类的,这里我用的是dirsearch。但是很遗憾,没有什么有价值的目录,连后台也扫不出来,但是这是在意料之中,毕竟大部分菠菜网...
干货 | Swagger的多种测试方式
免责声明: 该教程仅用于网络安全学习,如有人利用该技术从事违法犯罪行为一切和作者无关,请各位遵守法律法规! 设置星标,可以获得公众号文章的大图推送,感谢各位表哥的关注!!! Swagger简介 Swa...
对API文档泄漏测试脚本的一点点修改
原版https://github.com/lijiejie/swagger-exp修改swagger-exp增加openapi 3.0处理现在在swagger-ui的3.0匹配没更新上直接跑脚本会报错...
【逃离计划】Swagger API 信息泄露漏洞
Swagger未授权访问Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,...
应急响应之文件上传漏洞排查
前言在进行年度总结的时候,发现七一重保的时候还进行过一次应急响应,是一起关于非法上传事件的应急响应,在这里进行一下分析总结。处置1、查看基本情况在态势感知上可以看到,文件上传的详细情况,并且已经被攻击...
接口未授权到获取超级管理员权限
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。各位大佬应该在项目中可能都或多或少的会遇见一些swagger、soap等接口的未授权访问漏洞,可能有些大佬...
【红队】一款跨平台社区网页指纹识别工具
工具介绍一款跨平台社区网页指纹识别工具,类似glass、eholo,不同的是该工具调用 nuclei ,可以同时进行漏洞验证。工具使用 用法:observer_ward [-t <目标>]...
漏洞预警 | rswag目录遍历漏洞
0x00 漏洞编号CVE-2023-383370x01 危险等级高危0x02 漏洞概述RSwag是一个用于Rails API的Swagger的无缝集成,它可以自动为您的API生成Swagger文档,并...
Springboot攻击面初探(一)
学习Springboot!Spring是一个java开源框架,可以接管web层、业务层、dao层、持久层的组件,其核心就是控制反转(IOC)和面向切面(AOP)。Spring框架有众多衍生产品如boo...
云安全之信息泄露利用
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
8