账号 - 第 4 | CN-SEC 中文网

安全文章

漏洞挖掘 | 记一个信息泄露到RCE

本文由掌控安全学院 - 杳若投稿打点开局一个登录框信息收集发现了一处接口泄露了部分信息不过只有支付宝密钥的信息无法扩大危害，此时尝试寻找了一下其他同类型系统同样的接口，查看一下是否泄露的信...

04月24日16 views评论

阅读全文

移动安全

找回机制-修改返回状态值+找回密码重定向

案例：某app---找回密码修改返回状态值判定验证通过进入福利期货注册一个账号，点击忘记密码，输入正确验证码，抓取忘记密码的数据包，右键选择Do intercept----response to t...

03月28日28 views评论

阅读全文

安全文章

一次证书站逻辑漏洞挖掘

北京大学某站存在修改任意账号密码重置逻辑漏洞漏洞URL地址: http://***.***.edu.cn/?page=login 测试账号1：1355700**** 测试密码1：My****** 测...

03月11日32 views评论

阅读全文

安全新闻

布鲁金斯学会发布：（虚假）信息战

2024年2月23日，布鲁金斯学会研究员发表“（虚假）信息战”一文。虚假信息战，即假装成普通账户，故意传播假新闻。与传统宣传手段相比，虚假信息战在X（前身为推特）上传播假新闻的效果要更好。有鉴于此，布...

03月09日40 views评论

阅读全文

安全百科

漏洞挖掘逻辑漏洞记一次edu证书站的挖洞经历前言

前言前几天在网上冲浪的时候无意间看到了一个Edu的站点，是一个很常见的类似MOOC的那种在线学习系统，对外开放，同时有注册和登录功能。对于我这种常年低危...

03月08日34 views评论

阅读全文

安全工具

逻辑漏洞测试系列-水平越权漏洞

阅读须知本文所述之信息，只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料，对任何计算机系统进行入侵活动。利用本文所提供的信息所...

03月07日38 views评论

阅读全文

安全文章

SRC邀请处逻辑越权到组织管理员漏洞

1.在挖掘某src漏洞时候信息收集的时候收集到某小程序该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的这里我们准备两个测试账号(A和B) 2.我们登录进去该小程序，按照正常步骤流程注册...

03月03日26 views评论

阅读全文

安全文章

记信息泄露到RCE

本文由掌控安全学院 -杳若投稿打点开局一个登录框信息收集发现了一处接口泄露了部分信息不过只有支付宝密钥的信息无法扩大危害，此时尝试寻找了一下其他同类型系统同样的接口，查看一下是否泄露的信息...

03月02日20 views评论

阅读全文

安全闲碎

学习干货|等保测评2.0技术自查阶段(下)

0x01 前言以下是根据我国网络安全体系制订的一系列保护流程进行的等级保护测评。该测评针对已有和将上线的业务服务的基础设施（系统、数据库、中间件等），执...

02月27日38 views评论

阅读全文

安全文章

记一次逻辑漏洞挖洞经历

前言前几天在网上冲浪的时候无意间看到了一个Edu的站点，是一个很常见的类似MOOC的那种在线学习系统，对外开放，同时有注册和登录功能。对于我这种常年低危的菜鸡来说，这是最愿意看到的，因为一个Web网...

02月26日20 views评论

阅读全文

安全文章

记一次有趣的逻辑漏洞挖掘经历

1► 前言前几天在网上冲浪的时候无意间看到了一个Edu的站点，是一个很常见的类似MOOC的那种在线学习系统，对外开放，同时有注册和登录功能。对于我这种常年低危的菜鸡来说，这是最愿意看到的，因为一个W...

02月23日48 views评论

阅读全文

安全文章

实战 | 密码重置到后台GetShell

扫码查看漏洞尝试登录打开网页，看到一个登录，尝试点击 2.发现提示 Unknown host 3.因为刚开始是用 IP 访问的网站，点击登录按钮为域名访问该网站，猜测可能使用域名访问不了，于是把域...

02月23日24 views评论

阅读全文

漏洞挖掘 | 记一个信息泄露到RCE

找回机制-修改返回状态值+找回密码重定向

一次证书站逻辑漏洞挖掘

布鲁金斯学会发布：（虚假）信息战

漏洞挖掘逻辑漏洞记一次edu证书站的挖洞经历前言

逻辑漏洞测试系列-水平越权漏洞

SRC邀请处逻辑越权到组织管理员漏洞

记信息泄露到RCE

学习干货|等保测评2.0技术自查阶段(下)

记一次逻辑漏洞挖洞经历

记一次有趣的逻辑漏洞挖掘经历

实战 | 密码重置到后台GetShell

在线咨询

微信