本文由掌控安全学院 -
kpc
投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
一、小程序资产搜集
在我们去打小程序时,重复率是非常高的,因为小程序是不需要注册的web,非常好上手,也非常好挖,所以大家基本都会去测试,那我们找到别人很难找到的资产,是不是就更容易上分了呢?微信小程序的搜索引擎对所有人来说是公平的,我们同时搜XXX大学,大概率搜到的是一样的资产,所以我们可以用其他方法搜到一些平时搜不到的资产,比如用该大学的英文,例如我们搜北京大学,就可以直接搜PKU(仅举例):
二、逻辑越权
三、巧用接口文档
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):记一次通过接口文档实现越权拿下证书站
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论