在安全测试领域,逻辑漏洞检测工具的选择至关重要。本文将通过实际测试对比AIFuzzing与XiaYue两款工具的表现,分析它们在逻辑漏洞检测中的差异,并重点展示AIFuzzing接入AI能力后带来的显...
EDUSRC-高危漏洞-从信息收集到后台多个越权漏洞
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈...
记新手小白初挖到的第一个越权漏洞
扫码领资料获网安教程本文由掌控安全学院 - 来日方长 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)前言免责声明:文章中涉及的敏感信息均已做打...
多次演练门户,高危漏洞缺风韵犹存
第一章:漏洞挖掘的日常困境在网络安全的这片神秘领域里,我已经摸爬滚打了好些年头。最近这段时间,灵感似乎也跟着枯竭了,手头的工作无非就是些常规的渗透测试和众测项目。说起众测,心里就忍不住一阵窝火。在这个...
当单个ID失败时,成对ID可能通过!越权漏洞就这么简单
概述IDOR,全称 Insecure Direct Object Reference(不安全的直接对象引用,越权),是 Web 安全领域的一个“老牌”漏洞,但威力不容小觑。简单来说,IDOR 发生在应...
健康证泄露导致的越权漏洞
声明本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。前言这个漏洞存在于小程序上,我觉得相较于w...
github密码泄露导致的越权漏洞
开局一个SSO登录框 通过在github信息收集可以成功拿到默认密码 拿到账号密码后,可以成功登录学生系统。 进入vpn后,发现一个系统,使用统一登录。 因为是统一登录,所以使用刚才那个密码仍然可以登...
记一次不断FUZZ拿下高危越权漏洞
本文由掌控安全学院 - 腾风起 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 前言 一个迎新系统,和师傅们一起提升一下权限 敏感信息泄露 ...
记一次越权漏洞
开局一个手机号登陆出,没别的功能。提取接口都有鉴权。测试短信轰炸,验证码复用,绑定漏洞也不行。但是用自己手机号登录后有一个接口有点奇怪,测了下可以遍历全站所有用户的信息,是用Current_user_...
实战分享|Autorize如何让我躺赚接口越权漏洞赏金
年初我接了个外网系统的渗透项目,漏洞其实不是很多,但是高危也有几个,因为实战技巧专栏好久没更新了,所以趁着今天比较有时间,分享一个价值3k💰的接口越权漏洞实战细节。我总感觉漏洞是有共性的,万变不离其宗...
AIFuzzing越权工具使用分享
AIFuzzing越权工具使用分享:"小白的奇幻之旅" 🚀 目录 前言:为什么选择AIFuzzing 安装篇:那些年我们踩过的坑 配置篇:从"一脸懵逼"到"恍然大悟" 实战篇:当AI遇上越权检测 问题...
某事业单位多处越权漏洞测试
前言一般小程序都是都比较好测试,因为不像单纯的WEB网站一样需要登录后台或者注册进入才有比较多的功能点进行测试,反之小程序只需要访问就有大把的功能点进行测试,这次小程序就是功能点贼多。信息泄露这里访问...