声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。关注公众号，设置为星标，不定期有宠粉福利  ...

  为了感谢感谢大家的支持，决定在写完“金融项目渗透测试指南”前，时不时分享一些案例给大家，希望能对大家有用。前言测试一个金融项目，发现一个挺有趣的漏洞。该业务流程是发起流程会创建一个业务id，业务的...

在SRC（安全漏洞挖掘与利用）领域，逻辑漏洞是一类特殊且高价值的漏洞类型。不同于常见的代码执行、SQL注入等技术性漏洞，逻辑漏洞更多依赖于对系统业务流程的深刻理解和分析。这类漏洞往往隐藏在应用程序的业...

金额数据篡改抓包修改金额等字段，例如在支付页面抓取请求中商品的金额字段，修改成任意数额的金额并提交，查看能否以修改后的金额数据完成业务流程。案例：某网订单支付时的总价未验证漏洞(支付逻辑漏洞)在支付时...

勒索软件攻击依然是当今企业面临的最大安全威胁之一。根据Sophos的报告，59%的企业在2023年遭遇了勒索软件攻击，其中56%的受害者最终选择支付赎金以恢复数据。更为严重的是，63%的勒索金额达到或...

提到「关键资产」，相信大家并不陌生，它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产（如应用服务器、数据库或特权身份）出现问题，势必会对企业安全态势造成严重影响。但每项技术资产都被...