1. 目标信息收集 在一次漏洞挖掘活动中,我们发现了一个新开发的移动应用作为目标。除了专注于测试该移动应用本身之外,我们还在这一阶段收集了与应用程序中识别出的域名/子域名相关的信息。简而...
【技术分享】微信小程序AppSecret秘钥利用方式
阅读须知本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。朋友们现在...
浅谈通保中互联网云服务平台符合项评测如何填写
对我们小的安全服务测评机构来说,接触最多的通保也就是门户综合网站、信息社区服务系统和网络交易系统。互联网云服务平台接触则较少,因此对于其中的一些测评项会感到困惑,今天我摘几条最容易困惑的点拿出来说说,...
利用已知cms漏洞getshell
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无...
记某模版菠菜管理后台登录思路
文章来源: https://xz.aliyun.com/t/13984 前情提要 测试发现该菠菜模版系统存在未授权任意文件上传,在进行下述操作分析前已上马并获取到系统源码信息。因为后台数据展示比较直观...
金盘图书馆微信管理后台信息泄露漏洞
免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。漏洞描述 北京金盘鹏图软件技术有限公司...
漏洞预警 | 电信网关配置管理后台命令执行漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述电信网关配置管理后台是用于管理和配置电信网关设备的管理界面。电信网关是用于连接不同通信网络的设备,通常用于实现电话、数据和视频等通信服务的...
SRC实战:改个返回包就严重了?
生活就像自行车,要想保持平衡,必须不断前进。—— 爱因斯坦周一仿佛就是那个提醒你“不能停”的日子,哪怕你的心灵还没准备好继续前进。0x00经过长达一天的周末过后,又要开始上班啦。大周一的,还是老样子,...
dst-admin饥荒管理后台相关漏洞合集
0x01 产品简介dst-admin饥荒管理后台是qinming99个人开发者的一个用 Java 语言编写的 web 程序。0x02 漏洞概述dst-admin饥荒管理后台kickPlayer、cav...
记一次对钓鱼诈骗网站的测试
起因最近一段时间在学校染上了甲流,痛苦了几天,刚痊愈,学长就给我发来了消息。既然如此,那就权当甲流后的康复练习了。碰壁的初步测试点进去,是一个非常经典的钓鱼站首先还是常规的去打一波,超级ping去看i...
代码安全审计经验集(上)
通过fuzz方式绕WAF在目标系统发现一处SQL注入漏洞,但前置了一个某大厂的WAF,通常的套路是内联注释、编码、参数污染、分块传输等等,但方法都尝试了一遍之后,还是突破不了WAF。最后,绕过的技巧是...
记一次某家园社区管理后台渗透测试案例
文章目录前言资产探测漏洞一:漏洞二:总结:声明:*用到的工具:1、burp suite;2、fiddle*# 一、打开公司官网# 二、进入XX管理系统## 漏洞一:信息泄露1、通过前端接口拼接发现信息...