2022年度精选文章

2022年快要过去了,总想写点什么,于是便有了本文,笔者主要精选了一些文章,方便读者学习查阅:

gitlab漏洞系列

gitlab漏洞系列-权限相关漏洞小结

XSS系列

xss研究笔记-从174篇writeup中得出的结论

SSRF系列

SSRF研究笔记-从124篇writeup中得出的结论

SSO漏洞系列

你所不知道的sso绕过tips

赏金猎人系列-如何测试sso相关的漏洞

赏金猎人系列-如何测试sso相关的漏洞(II)

CRLF系列

你所不知道的CRLF---header中潜藏的漏洞

响应中存在的脆弱点

Response中所隐藏的杀机---揭秘响应中所存在的脆弱点

注册功能系列

赏金猎人系列-如何测试注册(Sign up)功能

赏金猎人系列-如何测试注册(Sign up)功能以及相关Tips

赏金猎人系列-如何测试注册(Sign up)功能(III)以及相关Tips

漏洞赏金猎人系列-如何测试注册(Sign up)功能(IV)以及相关Tips

漏洞赏金猎人系列-如何测试注册(Sign up)功能(V)以及相关Tips

设置功能系列

漏洞赏金猎人系列-如何测试设置(Setting)功能

漏洞赏金猎人系列-如何测试设置(Setting)功能II

漏洞赏金猎人系列-如何测试设置(Setting)功能III

漏洞赏金猎人系列-如何测试设置(Setting)功能IV

电商类业务功能

漏洞赏金猎人系列-测试电商类相关功能步骤和Tips-I

漏洞赏金猎人系列-测试电商类相关功能步骤和Tips-II

权限系列

idor相关研究

五种不一样的身份验证绕过技术

漏洞赏金猎人系列-权限升级相关测试方法以及Tips-I

漏洞赏金猎人系列-权限升级相关测试方法以及Tips-II

漏洞赏金猎人系列-权限升级相关测试方法以及Tips-III

SQL注入系列

Sqli的一些tips

Sqli学习笔记系列---一次艰难的Sqli

sqli学习笔记系列-绕过Kona WAF

sqli学习笔记系列-邮件重置功能的几个sqli的tips

Sqli学习笔记系列-遇到与邮箱相关的功能的测试思路(payload)

sqli学习笔记系列-忘记密码中存在的sqli

通过User-Agent进行SQL注入

账户劫持系列

account takeover系列-通过CSRF和密码重置功能实现帐户接管

account takeover系列-TikTok招聘网站的账号接管漏洞(通过csrf和重定向)

account takeover系列-由重置密码所导致的账户劫持

account takeover系列-由密码重置所导致的账户劫持

account takeover系列-由重置密码所导致的账户劫持

account takeover系列-由重新注册账户而导致的账户被劫持

account takeover系列-由于OAuth错误配置而导致的帐户前接管

account takeover系列-通过IDOR泄露PII结合弱密码实现账户劫持

通过混淆手段进行账户劫持

account takeover系列-由xss提升至账户劫持

信息搜集系列

漏洞赏金猎人系列-信息搜集中的Tips（-1）

信息搜集系列-ASNMap介绍

漏洞赏金猎人笔记-使用自动化工具搭建攻击面监控平台的一般性思路

漏洞猎人赏金笔记-如何编写Bug Bounty自动化脚本

Nuclei权威指南-实现真正的躺赚

JS基本功系列
读者可以在公众号内搜"JS基本功系列",有将近好些篇,这里之所以提到JS,说到底,web安全的本质在某种程度上为js,本公众号内写的虽然有点笔记的感觉,但确是笔者在踩了很多坑之后提炼出来的js的精髓,希望能够帮助到一些有缘人

写在最后
希望大家来年身体健康,笔者也会继续写一些东西,有时候更新的慢了,确实是手边有些事情亦或者是身体原因,还望大家体谅!最后祝大家心想事成!

原文始发于微信公众号（迪哥讲事）：2022年度精选文章