cckuailong读完需要5分钟速读仅需 2 分钟1 漏洞定义URL 重定向漏洞(URL redirection vulnerability),是一种常见的 Web 安全漏洞...
【安全研究】原创漏洞:PHPMyWind CMS产品 任意密码重置漏洞研究分析
↑ 点击上方“安全狗”关注我们近期,安全狗海青实验室的安全研究人员发现了一个PHPMyWind的任意密码重置漏洞。PHPMyWind是一套基于PHP和MySQL并符合W3C标准的企业网站建设解决方案,...
GitHub高危漏洞可劫持其他用户的库
研究人员发现GitHub存在库劫持漏洞,攻击者利用该漏洞可接管其他用户的库。GitHub库在创建库的用户账号下有唯一的URL。当其他用户想要下载或复制该库时,会使用到该库的完整URL。但是GitHub...
【安卓渗透测试系列教程第二期】如何利用meterpreter会话进行渗透
欢迎回来,我的新手黑客上一期教程中,当我们通过木马获取到一个meterpreter的会话之后,这一期让我们看看这个meterpreter类型的会话让我们可以做什么?所以我们需要讲解一下关于meterp...
MacOS 水坑攻击组合拳分析复现
概述 去年11月Google TAG发布了一篇[1]针对MacOS的水坑攻击调查报告,在红队的攻击几乎都以windows下的压缩包投毒为主的当下 能有一起针对Mac如此精良的攻击值得好好复盘分析 分析...
在国外SRC挖掘密码重置漏洞总结
前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发现公布的漏洞中存有不少的逻辑漏洞,毕竟在hackerone上提交漏洞过审之后给的是美元,还是很有诱惑力的。密码找回功能也是老调常谈的一个...
ptmalloc cheatsheet
最近公司被要求参加某网络安全比赛,所以借此机会又重新阅读了 glibc malloc 的最新代码,发现了许多之前未曾深究的细节。故整理成此文,也算是对从前文章的补充了。前言几年前已经写过了一篇&nbs...
Web Tips
绕过身份认证响应/状态码操作。蛮力otp。OTP 使用后不会过期。从账户 A 和 V 请求 2 个令牌。在 V 的账户中使用 A 的令牌。尝试在不解决 2FA 的情况下直接转到仪表板 URL。如果不成...
IDOR测试常见绕过技巧小结
一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供...
漏洞挖掘 | 在国外SRC挖掘密码重置漏洞总结
扫码领资料获渗透教程免费&进群随作者:爱吃猫的闲鱼 原文地址:https://xz.aliyun.com/t/9719前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发...
实用渗透测试Tips,小技巧 - 第40~59
前言:项目地址:https://github.com/Power7089/PenetrationTest-Tips现在格式,分类还没有进行美化,还在整理收集聚合阶段。师傅们可以使用公众号和Github...
web格式化注入漏洞
第一部分:Duo Security Web SDK的一个格式化注入漏洞 翻译自 http://sakurity.com/blog/2015/03/03/duo_format_injection.htm...