理论基础API它的全称是Application Programming Interface,也叫做应用程序接口,它定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展...
一次挖掘SRC漏洞 - 从0到有
作者:陈祝0ne 文章来源:先知社区对一次SRC平台漏洞挖掘 全程文字描述多一点。测试范围:XXXXX平台: www.A.comXxxxxxx平台: w...
HW期间如何防范各种漏洞
1越权漏洞不同权限账户之间的存在越权访问检测抓去a用户功能链接,然后登录b用户对此链接进行访问抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据替换不同的cookie进行测试查看防范在后...
绕过小程序签名验证
来自公众号:Bypass本文仅供技术学习参考。在一些关键业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步漏...
常用waf对抗手法简单总结
常规waf对抗的手法简单总结(懒)人屑勿喷,爱看不看,觉得不爽麻烦左滑退出Fuzz/爆破一般配合burp或者自己写的fuzz脚本爆破/fuzz就好一般fuzz 可能过的//%0%¥#基本就这些http...
接口信息泄漏
各位师傅好,前几天有个群里的师傅发现一个接口信息泄漏该如何利用呢,我们尝试一下废话不说直接开始演示,主界面信息泄漏界面1.接口信息利用。任意文件上传实现上传t...
内网渗透 | SSH隧道常见三种利用方式
点击上方“蓝字”,关注更多精彩0x00 前言 SSH服务大家耳熟能详,全称Secure Shell,在内网中几乎所有的linux服务器和网络设备都支持ssh协议。最初SSH是由芬兰的一家公司开发的。但...
实战 | 记一次艰难的任意文件下载漏洞挖掘和总结思考
0X01 前言本文的起因是在一次渗透测试中,挖掘到了一个比较奇葩的任意文件下载漏洞,鄙人的性格又比较倔,非想着从这个任意文件下载漏洞收获一些足以打入内网的成果。于是整了半天,在这个过程中也进一步加深了...
IP资产风险发现工具 -- IPWarden
项目作者:EnnioX项目地址:https://github.com/EnnioX/IPWarden 一、工具介绍 IPWarden是一个IP资产风险发现工具,确定目标IP/网段后即可循环扫描更新结果...
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员指出,适用于 Kubernetes 的 AWS IAM 认证器中存在一个漏洞 (CVE-2022-2385),可导致恶意人员模拟...
Hive最新变种来袭,医疗和IT行业信息安全建设将遭遇重大挑战
恶意文件家族名称:Hive威胁类型:勒索病毒简单描述:Hive 勒索软件于 2021 年 6 月首次被发现,主要攻击医疗和 IT 行业,历经多次变种,最新变种进行了多项重大升级,其中最主要的改变为编程...
swagger-ui 接口发送工具更新
前言swagger-tool是用python写的一个自动化解析swagger-api接口并发送的脚本。主要用于解析并查看swagger所有接口信息快速自动化发送接口数据到目标接口将swagger接口数...
26