0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,一周可能也就更新个两篇,如果工作忙,可能一周就一篇,但是文章都会很细致,暂时只更新学习笔记,至于挖洞思路,小菜鸟还不配。0.1.免责声明传播...
任意用户密码重置实战总结
声明:本文仅用于网络安全相关知识分享,请严格遵守网络安全相关法律法规。未经授权利用本文相关技术从事违法活动的,一切后果由违法人自行承担!Jie安全公众号及作者不承担任何法律责任。分享下没用的安服实战中...
盘点图形验证码的漏洞挖掘方式,看完之后你还不会挖吗?
平时测试时,看到下面图片验证码你能够想到什么漏洞测试思路? 验证码的安全问题一直都是逻辑漏洞领域的一大话题,当前的验证码主要分为两类,一是“短信验证码”,一个是"图片验证码",当然还有谷歌的图片点击等...
不同协议的数据抓包
APP抓包是最常见到的数据抓包场景,对于APP的数据抓取分为HTTP和HTTPS两种协议,对于HTTP直接手机上设置代理抓取即可,但是对于HTTPS就比较复杂了,大家都知道HTTPS是通道安全的传输,...
实战 | 对无辜中小学下手的渗透实战
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!前言:又是我,深情哥大弟子最不深情的压星河,五月末啊,鸭梨山大,为了冲月榜,只好对中小学下手了,欸嘿嘿,经过我得一番努力,最终摸到了一个站点1...
业务逻辑漏洞探索之绕过验证
本文中提供的例子均来自网络已公开测试的例子,仅供参考。 本期带来绕过验证漏洞。为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、Java...
【干货】渗透X国外空投的狗血经历
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!首先我们找到空投网站 听说可以领取空投但是邀请好友 需要注册那么我们先分析第一个 任意用户注册 ,找到我们的注册界面分析注册界面 是用邮箱注册...
越权(分析数据包)
一.越权漏洞原理1、原理概述如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。2、如何挖掘越...
一个稍显诡异的逻辑漏洞
关注【网络安全资源库】⭐优质文章及时送达 前言 在某次挖掘漏洞练手的过程中,碰到过一个比较特别的逻辑漏洞。之所以说比较特别是因为漏洞是偶然之间触发的,并且我本人在漏洞触发之后也是花...
APP渗透—反代理、反证书检测
0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,最近更新APP系列,APP系列每两天更新一次,由于APP系列不一定是很标准,若遇到解释不对的还请多多参考更多的文章。0.1.免责声明传播、利...
【投稿】记录一次觉得有意思的某src支付漏洞
记录一次觉得有意思的某src支付漏洞随意挑选进行商品进行购买首先;我们梳理一下思路在这一步可操作的点如优惠卷添加金额,因为很多平台修改金额比原金额低会进行校验;会忽略掉这一点如月佬所说金额溢出操作&n...
实战 | 一次JWT的越权渗透测试
简单介绍: 在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请...
9