前段时间打了几个众测 恰了点烂钱 随便写几个漏洞 1.未授权sql注入 tmd 看报错把我搞晕了 以为是达梦数据库 我还疑惑怎么会是这玩意 最主要还tmd咨询了几个大佬 都给我说是dm数据库。。。。 ...
有趣的xss漏洞
这是一个挺有意思的xss漏洞,正常情况下,一个邮件存在xss漏洞,就可以发给其他普通用户,危害一般也就只能截止到去攻击普通用户,但是这个案例的邮件就很有意思了。 打开网站,发现是一个经典的商城界面,这...
水一篇众测的漏洞报告
其实对于众测,还有src,有人能挖到,有人挖不倒,最主要的原因不是技术不到位,而是没有细心和耐心挖掘,其实那些大佬,大部分漏洞很多都很简单,你上你也行,但是你就是挖不倒,因为没有耐心。 就比如我这一篇...
SRC挖掘|任意用户登录漏洞挖掘思路
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
众测实战技巧
本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 开局一个登陆框 弱口令无果,翻看js接口找未授权也无果,爆破...
专访丨有关云安全漏洞挖掘的一些思考和总结
大家好,我是Iwtbb,大三学生 信息安全专业,擅长云安全漏洞 大学期间累计获得众测奖励40W 此外,我也获得过一些荣誉奖励 Iwtbb:很高兴受邀i春秋的采访,在本期访谈中,我会介绍云安全漏洞的挖掘...
独特的Js接口测试方式
前 言 有很长一段时间没推更了,原因挺多,一是不想分享一些肤浅的测试、二是在做项目上的事情,保密性没法做分享。 今天给师傅们带来一些好用的JS手法测试 1.问题主要还是在内网,一些大厂系统在做运维喜欢...
Smartbi token泄漏致使任意登陆
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的...
编写Metasploit插件获取DBeaver密码
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的...
手把手教你挖赏金系列(1) 众测下的SQL注入挖掘
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,...
【A9】众测项目痛点复盘优化
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
Vulnhub靶机-y0usef
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的...