漏洞挖掘 - 第 42 | CN-SEC 中文网

安全百科

【漏洞挖掘】任意用户密码修改漏洞

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公...

01月08日29 views评论

阅读全文

安全文章

实战案例：记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统

扫码领资料获网安教程前言在一次众测项目中，对某大型企业的某套数字化平台系统进行测试，前端功能简单，就一个登录页面，也没有测试账号，由于给的测试时间不多，倒腾了半天没有发现有价值的漏洞，在快要结束的时候...

01月05日37 views评论

阅读全文

安全漏洞

记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘

0X01 前言在某次攻防演练，某家做儿童学习系统的公司给的资产只有ip，ip上只有官网。无法获取到什么有用的信息。末尾领取资料，资源 0X02 漏洞复现发现目标单位存在一个微信小程序，从微信小...

01月03日47 views评论

阅读全文

安全文章

往年公开：实战src挖掘 XX漏洞挖掘(一、XX词条)

发现方式：XX创建词条，然后标题处存在xss漏洞漏洞链接 :https://baike.baidu.com/page/createindex?lemmaTitle=这里可以直接插入xss代码，或者链接...

12月31日38 views评论

阅读全文

安全工具

SRC域名收集与监测V3.0

简介在职业刷src或者apt攻击者的角度，单单过一遍爆破的域名是不能满足持续性漏洞挖掘;从职业刷src的角度，过一遍收集的子域名，已经发现了所有漏洞并已经提交后修复，或者用当前漏洞测试方法并没发现有...

12月27日51 views评论

阅读全文

安全文章

记一次通过逻辑漏洞组合进入某公司股份管理后台的案例

用到的工具：1、burp suite；2、fiddler 一、打开公司官网二、进入XX管理系统漏洞一：信息泄露 1、通过前端接口拼接发现信息泄露，包括姓名和手机号等信息漏洞二：密码重置 1、在忘...

12月25日39 views评论

阅读全文

安全文章

SRC挖掘|任意用户登录漏洞挖掘思路

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

12月25日34 views评论

阅读全文

安全闲碎

专访丨有关云安全漏洞挖掘的一些思考和总结

大家好，我是Iwtbb，大三学生信息安全专业，擅长云安全漏洞大学期间累计获得众测奖励40W 此外，我也获得过一些荣誉奖励 Iwtbb：很高兴受邀i春秋的采访，在本期访谈中，我会介绍云安全漏洞的挖掘...

12月20日109 views评论

阅读全文

中*院 | 校招车联网安全面经分享

面经投稿来自团队小伙伴，仅供参考学习，欢迎大家投稿面经。如果公众号的内容对你有帮助，希望你也能加入到其中一起分享。类型：校招面试时长：20分钟面试公司：中*院面试岗位：车联网安...

12月19日安全职场55 views评论

阅读全文

安全文章

一次不出网的CVE漏洞写shell-TOP漏洞挖掘

前言记得是2023年的一个金融项目，因为只有dnslog...

12月19日113 views评论

阅读全文

安全新闻

被忽视的暗面：客户端应用漏洞挖掘之旅

被忽视的暗面：客户端应用漏洞挖掘之旅key@中孚信息元亨实验室前言在2023年12月15日，我有幸参加了由“字节跳动安全中心”举办的“安全范儿”沙龙活动。作为“中孚信息元亨实验室”的一员，我被邀请分享...

12月19日58 views评论

阅读全文

安全文章

某米SRC未授权访问

免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知...

12月18日38 views评论

阅读全文

在线咨询

微信