审计过程:在入口文件admin/index.php中:用户可以通过m,c,a等参数控制加载的文件和方法,在app/system/entrance.php中存在重点代码:当M_TYPE == 'syst...
漏洞挖掘 | 简单的弱口令到垂直越权思路分享
0x1 信息收集+弱口令登录这里我先拿到这个网站,一看到登录框那么首先肯定想到的是弱口令登录,可以先通过最常见的admin:123456、admin:admin、admin:admin1...
一次轻松的小程序漏洞挖掘
本文由掌控安全学院 - zzzxby 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x01前言 本文只是记录一次轻松的小程序漏洞挖掘。 0x...
手把手教你写好一份完整的漏洞报告
玲珑安全第六期SRC培训开启招生点击下方卡片查看招生细则欢迎广大朋友咨询参加引言我们发现,许多初学者乃至一些已有一定经验的师傅,在撰写漏洞报告时容易出现表述混乱、结构不清等问题,常常让甲方或漏洞审核人...
API漏洞挖掘指北-APISandbox靶场通关.1
APIKitAPISandboxAPISandbox靶场通关安装OWASPApiTop104ASystemAPIKitAPIKit是基于BurpSuite提供的JavaAPI开发的插件。APIKit可...
7天如何从捡破烂到成功挖出一堆0day
这是一个在2月初就酝酿要写的博客,因为本人大三下处于关键的十字路口考虑升学or就业实习,时间紧迫,以及厂商迟迟未出补丁,故搁置良久,恰逢此刻已到新的人生阶段,并且看到近期厂商已经发了修复后的固件,突然...
漏洞挖掘—隐藏资产挖掘SQL注入
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
【AutoCS】智能汽车安全-漏洞挖掘到控车攻击
0x1 前言随着人工智能、5G通信与车联网技术的深度融合,智能网联汽车正从理论验证阶段快速迈进规模化商用时代。截止目前,我国L3-L4级自动驾驶试点城市已拓展至数十个。智能化进程的提速带来了多样化的安...
智能汽车漏洞挖掘案例分享
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。关注公众号,设置为星标,不定期有宠粉福利前言...
K8s下的漏洞挖掘思路
0x01 概念容器:容器是一种虚拟技术,与传统的虚拟机(如VMware)相比,容器更加轻量化,不需要虚拟整出个操作系统,仅需要虚拟一个小规模的环境就可以运行,容器以独立进程的方式运行在宿主机上,相互之...
【JAVA代码审计】启航电商ERP2.0漏洞挖掘
点击上方蓝字关注我们 并设为星标0x00 前言█ 该文章来自零日防线社区用户投稿 █启航电商ERP系统2.0版本是一个完整开箱即用的开源电商ERP系统,经历1.0版本的迭代优化和客户使用验证。开发者可...
【代码审计】某友云平台远程命令执行漏洞
点击上方蓝字 关注安全知识引言 此漏洞未公开未公开漏洞 某友云平台远程命令执行漏洞漏洞概述xxx云平台存在未授权SQL注入漏洞,攻击者可通过构造恶意JSON请求实现数据库版本信息...