本文首发 Web 安全社区:https://web.sqlsec.com/thread/289 转载请注明出处!场景介绍下面这种图片上传场景经常存在接口未授权且无后缀限制的情况:成功访问页面可以正常解...
CentOS搭建Bitbucket管理平台(下)
1 前言Bitbucket是由Atlassian公司开发,支持Git和Mercurial版本控制系统。Bitbucket提供了代码托管、问题跟踪、持续集成、部署和协作工具等多种功能,还支持私有仓库和团...
TangGo|逻辑漏洞测试系列-支付逻辑漏洞
阅读须知 本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所...
Selenium实战-模拟登录淘宝并爬取商品信息
现在很多网站要获取数据都得要先登录。Selenium是一个用于Web应用程序测试的自动化工具。它直接运行在浏览器中,模拟真实用户的操作。本文介绍如何通过Selenium来登录淘宝并自动爬取商品信息。关...
页面跳转不再是难题:网站仿真指南与实用案例
前言 在服务器检材仿真过程中,浏览器有时会自动跳转到非预期的目标页面,这种情况常出现在aspx、php、html等多种页面文件类型中,此现象可能会给案件数据分析带来不便。因此,本文旨在深入探讨此问题,...
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...
Vue引入vue-router路由并通过vue-wechat-title设置页面title
对于用类似Vue前后端分离技术架构的单页应用页面之间的跳转没有非前后端分离那么来得直接,甚至连设置跳转页面的Title都要费一番周折,本文介绍Vue引入vue-router路由并设置页面Title,通...
一个戴姆勒漏洞引发的思考
背景 最近看到一个简单漏洞报告,结合之前事情引发了一些思考 漏洞记录 漏洞很简单,一个未授权 通过篡改参数,泄露一些机密文件,有一些文件明确标记为机密,仅供梅赛德斯-奔驰经销商管理层查看。还有一些文件...
记一次某次测试从前台登录页到渲染后台功能
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
某次测试从前台登录页到渲染后台功能
免费&进群某次测试目标仅给了一个后台系统某次测试目标给了一个后台系统1.后台权限获取打开一看,平平无奇的后台系统,也没有提供测试账号,爆破了一番弱口令未果,尬住。也遇到过很多这种只有一个登录页...
Vulhub靶场 - Deathnote
01 信息收集首先还是namp扫描存活IP发现118.134主机存活,详细扫描一下,发现开放80和22端口访问一下80端口,发现访问后会自动跳转到一个url:“http://deathnote.vul...
vulnhub之Misdirection靶机渗透(web渗透、反弹shell、提权)
目录 一、信息收集 二、web渗透 三、反弹shell 四、用户提权 五、root提权 一、信息收集 拿到靶机后,老规矩,使用nmap进行详细扫描,这里我的kali本机ip是192.168.138.1...
45