前言前几天在网上冲浪的时候无意间看到了一个Edu的站点,是一个很常见的类似MOOC的那种在线学习系统,对外开放,同时有注册和登录功能。对于我这种常年低危的菜鸡来说,这是最愿意看到的,因为一个Web网站...
02月14日29 views评论逻辑漏洞
记一次有趣的逻辑漏洞挖洞经历
02月14日29 views评论逻辑漏洞
02月14日29 views评论逻辑漏洞
赏金猎人|从摆烂的逻辑漏洞到离CNVD证书差一步之遥
0x01 前言 最近对于挖洞确实很摆烂、首先就是没有明确的目标和想要的漏洞类型,其次就是在几年前不起眼的逻辑漏洞在如今被重视起来,挖的也烦了,年前再水一次文章罢,不过这次的故事挺滑稽的,本次漏洞...
02月05日33 views评论cnvd
逻辑漏洞
逻辑漏洞简介
逻辑漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理...
02月01日23 views评论越权漏洞
逻辑漏洞
每日奇葩逻辑漏洞分享之虚假的验证码
功能介绍BindingWxUser接口用户绑定用户的微信和手机号接口的主要细节如下:POST /wechat/user/BindingWxUser HTTP/1.1Host: web.sqlsec.c...
01月23日26 views评论bindingwxuser
逻辑漏洞
逻辑漏洞挖掘
出版社的渗透测试各种逻辑漏洞
0x01 概述由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻...
01月20日36 views评论渗透测试
逻辑漏洞
洞见简报【2024/1/9】
2024-01-09 微信公众号精选安全技术文章总览洞见网安 2024-01-09 0x1 NTLM重放攻击Ms08067安全实验室 2024-01-09 20:01:16 NTLM重放攻击是一种中间...
01月12日25 views评论ntlm
smb
意想不到的逻辑漏洞
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是前段时间的一个客户项目,接到客户给过来的一个测试需求。对指定的站点进行漏洞挖掘,虽然说得很简单,大致看...
01月10日19 views评论敏感信息
逻辑漏洞
X友CRM系统存在逻辑漏洞直接登录后台
用友crm客户关系管理的第一需求就是对客户信息的集中管理和共享利用,即客户资源的企业化管理,避免因业务调整或人员变动造成的客户资源流失和客户管理盲区的产生;更重要是可以通过完善的客户信息来...
01月09日34 views评论crm
逻辑漏洞
重生第一篇之不经意间的Getshell
点击上方蓝字关注我们即将告别2023,让我们一起展望2024Goodbye 2023 提前祝安全界各位大师父们,元旦快乐!Seraph安全实验室公众号重新起航将会在每...
01月07日27 views评论文件传输
逻辑漏洞
【逻辑漏洞】任意账号密码重置
0x00 短信验证码回传 1、原理 通过手机找回密码,响应包中包含短信验证码 2、案例 某网站选择用手机找回密码: 点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示: 3、修复建议 响应包...
01月06日40 views评论账号密码
逻辑漏洞
浅谈漏洞思路分享-逻辑漏洞(支付系统篇)
点击蓝字 关注我们 前言 本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担 渗透测试项目中网站哪里可能存在逻辑漏洞呢? 这里总结了三大类关于登录页面、会员系统、支付系统可能出现的逻...
01月05日安全文章113 views评论id
逻辑漏洞
20