未授权 - 第 18 | CN-SEC 中文网

安全工具

burp插件:gatherBurpgatherBurp

目前功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板生成指定kb大小的随机字符串使用说明 ...

06月08日18 views评论

阅读全文

安全工具

burp插件:gatherBurp

功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板使用说明请使用mvn clean pack...

06月08日19 views评论

阅读全文

安全文章

SRC逻辑漏洞合集

文章正文 0x01 未授权未授权问题为普通用户登录或没有登录后，拼接js接口，构造报文，越权实现管理员的权限操作。原因：后端没有校验Cookie/Session的身份信息，以至于普通用户的权限可以实...

06月07日28 views评论

阅读全文

安全工具

一款集合多个漏洞扫描功能的Burp插件

点击蓝字关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...

06月06日35 views评论

阅读全文

安全新闻

Zyxel NAS 未授权文件上传限制不当可致远程代码执行

漏洞描述: Zyxel NAS326和NAS542设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞,未经身份验证的威胁者可通过将恶意设计的配置文件上传到易受攻击的设备导致执行任...

06月05日55 views评论

阅读全文

安全漏洞

Nacos未授权下载配置信息

众所周知nacos不管是渗透测试或者红蓝攻防过程当中出现频率颇高，当我们通过一系列手段进入系统后台后往往会去看配置信息，看是否会泄漏服务密码或者oss存储桶信息。有没有漏洞可...

06月03日122 views评论

阅读全文

安全工具

一款综合的burp插件-gatherBurp

01 工具功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板 02 使用说明皆可通过使用鼠标右...

06月03日34 views评论

阅读全文

安全新闻

【漏洞预警】Showdoc 未授权 SQL注入漏洞

漏洞描述:ShowDoc V3.2.5 之前的版本中存在SQL注入漏洞，攻击者可通过此漏洞获取登录登录token并进入后台。进入后台后可结合反序列化漏洞，写入WebShell，从而获取服务器权限。修复...

05月28日183 views评论

阅读全文

安全工具

攻防演练过程中，发现未授权/敏感信息/越权/JS文件/登陆接口的插件

工具介绍攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该Burp插件我们可以：1、发现通过某接口可以进行未授权/越权获取到所有...

05月27日35 views评论

阅读全文

安全文章

漏洞挖掘 | 另类未授权之精准丢包

前言去年的洞，不小心翻到了，今天又看了一下，发现这个思路还可以，所以给大家分享一下。从ACL拿下一个url随便测测，发现它是先进入后台再跳转到首页，于是我用burp抓包不放让它卡在后台页面不过并没有啥...

05月25日13 views评论

阅读全文

安全漏洞

CVE-2024-4956Nexus未授权读取文件

Nexus Repository Manager 是一个存储库管理器。Nexus Repository 3（3.68.1 之前的版本）中发现了路径遍历漏洞。此漏洞允许攻击者制作 URL 来下载任何文件...

05月24日38 views评论

阅读全文

安全文章

记一次另类未授权之精准丢包

本文由掌控安全学院 - 山屿云投稿去年的洞，不小心翻到了，今天又看了一下，发现这个思路还可以，所以给大家分享一下。从ACL拿下一个url随便测测，发现它是先进入后台再跳转到首页，于是我用burp...

05月23日21 views评论

阅读全文

burp插件:gatherBurpgatherBurp

burp插件:gatherBurp

SRC逻辑漏洞合集

一款集合多个漏洞扫描功能的Burp插件

Zyxel NAS 未授权文件上传限制不当可致远程代码执行

Nacos未授权下载配置信息

一款综合的burp插件-gatherBurp

【漏洞预警】Showdoc 未授权 SQL注入漏洞

攻防演练过程中，发现未授权/敏感信息/越权/JS文件/登陆接口的插件

漏洞挖掘 | 另类未授权之精准丢包

CVE-2024-4956Nexus未授权读取文件

记一次另类未授权之精准丢包

在线咨询

微信