用户 - 第 44 | CN-SEC 中文网

114票务网逻辑漏洞用户敏感信息泄漏

http://xxxx/userCenterTrain/userCenterTrain_payTrainOrder.action?orderId=9272363&order_userId=53...

08月12日安全文章64 views评论

阅读全文

安全文章

【XSSI】动态JS劫持用户信息-Webpack+JSONP劫持

动态JS劫持用户信息-Webpack+JSONP劫持作者：key注：本文已对敏感信息脱敏化，如有雷同纯属巧合。前言在做测试的时候发现一个请求：POST /user/getUserInfo HTTP/1...

08月12日283 views评论

阅读全文

安全闲碎

Redis 实战篇：巧用 Bitmap 实现亿级海量数据统计

来自公众号：码哥字节在移动应用的业务场景中，我们需要保存这样的信息：一个 key 关联了一个数据集合。常见的场景如下：给一个 userId ，判断用户登陆状态；显示用户某个月的签到次数和首次签到时间；...

08月06日51 views评论

阅读全文

安全文章

看我！挖到了一个3万美元的 Instagram 漏洞

聚焦源代码安全，网罗国内外最新资讯！编译：奇安信代码卫士我叫 Mayur Fartade，来自印度马哈拉施特拉邦，这是我第一次参加 Facebook 漏洞奖励计划。说明 &nb...

08月02日123 views评论

阅读全文

安全文章

SXF-SANGFOR终端检测响应平台 - 任意用户登录 0day

漏洞编号:暂无影响范围：EDR<=v3.2.19/ui/login.php?user=admin复现过程如下：本文始发于微信公众号（飓风网络安全）：SXF-SANGFOR终端检测响应平台 - ...

08月02日141 views评论

阅读全文

安全文章

如何确认Google用户的具体电子邮件地址（已提交Google漏洞奖励计划）

点击上方蓝字可以订阅哦近期我向Google报告了一个安全问题，这个漏洞将允许攻击者确认某Web页面的访问者是否登录了任意一个Google服务的账号（包括GSuite账号在内）。根据我的测试结果，攻击者...

08月02日106 views评论

阅读全文

安全文章

T00ls元旦福利：Windows server 2012 用户hash抓取方法研究（本地+域）

小编注：本文由T00ls内网渗透大神Twi1ight发表于2012-11-21，第一次通过微信对外发布:-)在http://msdn.itellyou.cn/下载了一个windows server 2...

07月29日125 views评论

阅读全文

安全文章

维持访问-API函数添加用户

一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学，切勿用于它用途公众号：XG小刚API添加用户当我们想在主机添加一个用户时，常用的就是桌面操作或命令行通过net添加这不net命令添加用户被360、...

07月27日133 views评论

阅读全文

安全文章

教你截获dz2.5的用户明文密码、管理员明文密码、邮箱、登录问答

最近碰到个discuz X2.5论坛，通过旁注拿到了webshell，但目标是要拿到这个discuz论坛的用户资料（包括密码）。初步想法是在discuz的代码里动下手脚，找到用户登录成功代码，然后加段...

07月27日58 views评论

阅读全文

安全文章

通过WebRTC漏洞获取内网IP以及VPN用户真实IP

WebRTC是一个支持网络浏览器进行实时语音对话或视频对话的软件架构。它于 2011 年 6 月 1 日开源并在 Google、Mozilla、Opera 支持下被包括进万维网联盟的 W3C 推荐标准...

07月27日191 views评论

阅读全文

安全文章

【奇技淫巧】通过SCF文件攻击网络共享文件夹并获取用户系统密码

通过学习看雪一篇文章对SCF文件利用攻击网络共享文件夹，由于原文有些地方没有提及，于是便尝试了一下复现，个人认为在内网渗透中某些技巧灵活运用起来能事半功倍，多学习一种新方式，就可能多一种新思路1.&n...

07月25日388 views评论

阅读全文

安全漏洞

Linux曝出Sudo提权漏洞受限用户亦可运行root命令

据悉，Sudo 特指“超级用户”。作为一个系统命令，其允许用户以特殊权限来运行程序或命令，而无需切换使用环境（通常以 root 用户身份运行命令）。默认情况下，在大多数 Linux 发行版中（如屏幕快...

07月25日80 views评论

阅读全文

在线咨询

微信