研究人员发现GitHub存在库劫持漏洞,攻击者利用该漏洞可接管其他用户的库。GitHub库在创建库的用户账号下有唯一的URL。当其他用户想要下载或复制该库时,会使用到该库的完整URL。但是GitHub...
11月02日74 views评论攻击者
高危漏洞
GitHub高危漏洞可劫持其他用户的库
11月02日74 views评论攻击者
高危漏洞
11月02日74 views评论攻击者
高危漏洞
【安卓渗透测试系列教程第二期】如何利用meterpreter会话进行渗透
欢迎回来,我的新手黑客上一期教程中,当我们通过木马获取到一个meterpreter的会话之后,这一期让我们看看这个meterpreter类型的会话让我们可以做什么?所以我们需要讲解一下关于meterp...
10月05日移动安全41 views评论meterpreter
渗透测试
MacOS 水坑攻击组合拳分析复现
概述 去年11月Google TAG发布了一篇[1]针对MacOS的水坑攻击调查报告,在红队的攻击几乎都以windows下的压缩包投毒为主的当下 能有一起针对Mac如此精良的攻击值得好好复盘分析 分析...
10月01日25 views评论audit
macos
在国外SRC挖掘密码重置漏洞总结
前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发现公布的漏洞中存有不少的逻辑漏洞,毕竟在hackerone上提交漏洞过审之后给的是美元,还是很有诱惑力的。密码找回功能也是老调常谈的一个...
08月11日50 views评论hackerone
攻击者
ptmalloc cheatsheet
最近公司被要求参加某网络安全比赛,所以借此机会又重新阅读了 glibc malloc 的最新代码,发现了许多之前未曾深究的细节。故整理成此文,也算是对从前文章的补充了。前言几年前已经写过了一篇&nbs...
07月18日12 views评论malloc
size
Web Tips
绕过身份认证响应/状态码操作。蛮力otp。OTP 使用后不会过期。从账户 A 和 V 请求 2 个令牌。在 V 的账户中使用 A 的令牌。尝试在不解决 2FA 的情况下直接转到仪表板 URL。如果不成...
07月18日26 views评论com
代码
IDOR测试常见绕过技巧小结
一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供...
07月12日安全文章192 views评论api
get
漏洞挖掘 | 在国外SRC挖掘密码重置漏洞总结
扫码领资料获渗透教程免费&进群随作者:爱吃猫的闲鱼 原文地址:https://xz.aliyun.com/t/9719前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发...
07月12日184 views评论攻击者
漏洞挖掘
实用渗透测试Tips,小技巧 - 第40~59
前言:项目地址:https://github.com/Power7089/PenetrationTest-Tips现在格式,分类还没有进行美化,还在整理收集聚合阶段。师傅们可以使用公众号和Github...
06月27日146 views评论com
https
web格式化注入漏洞
第一部分:Duo Security Web SDK的一个格式化注入漏洞 翻译自 http://sakurity.com/blog/2015/03/03/duo_format_injection.htm...
05月17日21 views评论web
攻击者
【技术分享】House of storm 原理及利用
1漏洞产生条件及危害House_of_storm是一种结合了unsorted_bin_attack和Largebin_attack的攻击技术,其基本原理和Largebin_attack类似,但是不同的...
05月16日23 views评论bin
技术分享
DNS Rebind
今天某大牛 @symollin 发我一篇博文,关于利用DNS Rebind盗窃某微信好友信息的,链接为:https://xlab.tencent.com/cn/2018/10/23/weixin-ch...
04月23日83 views评论dns
secret
3