本文来自:天权信安网络安全生态圈 作者:天剑安全卫士实验室 由于传播、利用本公众号天权信安所提供的信息而带来的所有直接或间接后果和损...
11月01日54 views评论渗透测试
网络安全
记一次企业src的逻辑漏洞(任意密码重置)
前言:本文中涉及到的相关漏洞已报送厂商并得到修复,只提供思路,严禁用于非法用途,否则产生的一切后果自行承担。记录一次,挖企业src的过程中,出现的任意密码重置,漏洞可能比较简单,但是,为什么就是轮不到...
10月30日39 views评论密码重置
逻辑漏洞
实战 | 记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)
扫码领资料获网安教程免费&进群本文由掌控安全学院 - kgg 投稿八月初参加某市演练时遇到一个典型的逻辑漏洞,可以绕过验证码并且重置任意用户的密码。首先访问页面,...
10月29日75 views评论手机号码
逻辑漏洞
逻辑漏洞的挖掘与防范(二)
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把LHACK安全“设为星标”,否则可能就看不到了啦! 0x01支付漏洞简介 支付漏洞是 高风险漏洞 也属于 逻辑漏洞 ,通常是通过 篡改...
10月25日33 views评论支付漏洞
逻辑漏洞
记一次SRC漏洞挖掘中的逻辑漏洞
前言一次src的逻辑漏洞挖掘,修改返回包进入后台,虽然未显示数据,通过拼接js路劲也无法达到危害最大化,但是这个洞吃几顿猪脚饭,还是可以的一、漏洞挖掘开始开局一个登录框没有注册功能,尝试修改登录包,看...
09月05日33 views评论漏洞挖掘
逻辑漏洞
QQ客户端远程代码执行漏洞情报速报
2023 年8月 20 日,赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客...
08月21日286 views评论远程代码执行漏洞
逻辑漏洞
干货 | 逻辑漏洞拿下目标站点
前言 开局某平台登录框 可做尝试手法 1、弱口令 2、万能密码 3、复杂密码逻辑绕过 4、登录框逻辑绕过 5、登录框注入 正文 某通用平台,系xxx科技公司开发全套模板通用系统,演示站踩点弱口令,这里...
08月20日30 views评论id
权限提升
记一次逻辑漏洞拿下目标站点
本文由掌控安全学院 - liniyinan投稿 开局某平台登录框 可做尝试手法 1、弱口令 2、万能密码 3、复杂密码逻辑绕过 4、登录框逻辑绕过 5、登录框注入 正文 某通用平台,系xxx科技公司开...
08月15日43 views评论id
权限提升
2023 HW 必修高危漏洞集合
逻辑漏洞 |实战 手把手教你密码重置漏洞
零基础黑客教程,黑客圈新闻,安全面试经验尽在 # 暗网黑客教程 #某佬找我共同商议一下某X怎么怼,到头来还是没日下。不过找到了几个漏洞,感觉还行废话不多说直接进入正题一打开一股浓浓的BC彩P味道袭来,...
08月05日24 views评论密码
逻辑漏洞
实战:一些近期的漏洞挖掘案例
声明:本次渗透测试有合法授权,相关数据已脱敏处理 之前拿到站的时候总会按照惯例走一套信息收集的流程,没有对网站的功能进行全面分析,导致点位就在主站上而我却忙于信息收...
07月24日60 views评论sql注入
信息收集
京东万家APP越权逻辑漏洞挖掘
逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以越权逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。 一、什么是越权逻辑漏洞 定义:指由于系统的权限控制逻辑不够...
07月09日59 views评论权限
逻辑漏洞
20