漏洞挖掘 - 第 40 | CN-SEC 中文网

安全文章

【漏洞挖掘】任意用户修改密码漏洞2

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公...

01月31日20 views评论

阅读全文

CTF专场

awd比赛-让flag自己送上门来

首先本地监听端口批量上传权限维持文件让flag回连这样就可以等着让flag自己送上门来啦想了解更多工具来这里吧欢迎进入内部星球一起交流攻防训练营攻防训练营是高质量的网络安全领域星球，星球中有针对安全新...

01月31日27 views评论

阅读全文

安全漏洞

用友系统-U9企业版存在任意文件上传漏洞(新接口)-漏洞挖掘

0x01 产品简介用友系统-U9 cloud是基于最新应用平台，全新系统架构及开发技术，适配安可要求，融合生态发展，开放标准数据服务接口，并与用友系统-U9 cloud系列产品无缝融合应用，打造...

01月30日170 views评论

阅读全文

安全文章

【漏洞挖掘】短信验证码的相关利用方法与技巧

一、前言在登陆界面漏洞挖掘中，短信验证码是一种常用的技术手段。本文将介绍短信验证码在登陆界面漏洞挖掘中的常见应用，并通过案例分析来提高大家对这一技术的认识。二、短信轰炸的常用手法三、短信验证码在注册、...

01月29日96 views评论

阅读全文

安全文章

记某项目漏洞挖掘之任意用户登录

前言：在授权对某个项目进行测试时，我们发现目标的子域名存在未授权的API，这引发了一系列问题。在此，我们将情况记录下来并和大家分享。挖掘过程记录：1. 当小星尝试访问某系统时，页面显示为空白。2. 通...

01月28日34 views评论

阅读全文

安全文章

漏洞挖掘之XSS接管任意用户账户

在这篇文章中，const & I （mrhavit）将分享我们发现跨站点脚本（XSS）漏洞的经验，该漏洞可能导致我们在参与他们的漏洞赏金计划期间在多个 TikTok 应用程序中可能被接管...

01月26日43 views评论

阅读全文

安全文章

漏洞挖掘|一次某站点的任意用户密码更改漏洞

前言叙述现在的洞越来越难挖了，近些年的大佬们纷纷登场，安全防护也在不断提升，作为一个不"专业"的人，实在头疼不已，最近实在无力加上很多现实中事忙活，突然不知道咋挖了，只能水一次技术了* 本文涉及到...

01月26日28 views评论

阅读全文

安全文章

实战|记录对某网站漏洞挖掘

前言记录一次对某网站漏洞挖掘，漏洞点为功能性漏洞，漏洞发生原因为逻辑判断问题，因涉及企业和个人信息，敏感信息将进行打码，后续漏洞将进行提交漏洞过程网站的主营业务为售卖服务，虚拟商品等，不同的种类，可以...

01月25日28 views评论

阅读全文

安全文章

漏洞挖掘之任意帐号密码重置

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。在一次批量测试的项目中，发现了特殊的它，因为它比起别的站点多出了一个注册的功能点。而我一般在批量测试中，习...

01月25日14 views评论

阅读全文

安全漏洞

金和OA-C6JHSoft-WebSQL延时注入漏洞(新接口)-漏洞挖掘

0x01 产品简介金和OA协同办公管理系统C6软件共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多...

01月25日71 views评论

阅读全文

安全文章

记一次edusrc指定学校站点挖掘实例

最近比赛结束也算是圆满完成了任务，所以闲来无事想更新几期edusrc平台漏洞挖掘的记录，主要想以逻辑漏洞为主。遂有了本篇文章。没什么亮点，中规中矩。如有什么问题，欢迎微信与我交流！注：本文涉及到的所有...

01月24日47 views评论

阅读全文

安全漏洞

广联达企业管理系统DataFile.aspx存在外部实体注入漏洞(新day)-漏洞挖掘

0x01 产品简介广联达科技股份有限公司作为数字建筑平台服务商,围绕工程项目的全生命周期,为客户提供数字化软硬件产品、解决方案及相关服务。公司业务面向建设方、设计方、制造厂商、供应商、施工方、运营方等...

01月24日105 views评论

阅读全文

在线咨询

微信