本文由掌控安全学院 -杳若 投稿 打点 开局一个登录框 信息收集 发现了一处接口泄露了部分信息 不过只有支付宝密钥的信息无法扩大危害,此时尝试寻找了一下其他同类型系统同样的接口,查看一下是否泄露的信息...
SRC | 某后台登录绕过到getshell
本文由掌控安全学院 -17828147368 投稿 开局一个登录框,漏洞全靠运气,先测试一下弱口令无果,再来个万能密码绕过登录试试 我*,直接进去了,主要这个系统给人感觉就老 一般只要进入后台,功能点...
公益src | 一次简单的验证码绕过
本文由掌控安全学院 -好好好 投稿1、在漏洞平台,公益SRC上,找一个网站,找到登录处 2、抓包,发现密码明文,放到Repeater,多次Go,发现没有验证码,也不限制次数 3、尝试进行爆破,得到密码...
某大学招聘平台存在逻辑漏洞
本文由掌控安全学院 - 葵先生 投稿 找到一个学校的就业信息网, 随便点击一个招聘会,并且抓包查看返回包 注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电...
实战纪实 | 记一次攻防演练
免费&进群本文由掌控安全学院 - 我不是大佬 投稿看到一处登录后台,各种操作都尝试过无果,翻了一下js,看到一处文件上传接口泄露(没图了,已经整改了)构造上传数据...
记一次项目上某系统web渗透测试
获网安教程免费&进群 本文由掌控安全学院- 雷婷万钧投稿第一个信息泄露漏洞首先在登录页忘记密码处点击查询获取用户进行抓包可以获得用户的token固定id值第二个...
靶场上新:Nacos未授权访问
本文由掌控安全学院-江月投稿 封神台新上线漏洞复现靶场:nacos未授权访问。 漏洞详情: Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-...
SRC刷分技巧-自动化漏洞检测
获网安教程 免费&进群 一些自动化漏洞挖掘的技巧和思路的分享 Google谷歌爬虫+WebRobot自动化SQL检测 这里先用之前的谷歌爬虫爬取足够多的url链接 我这里爬了差不多600条 再...
“打响交大第七炮”
现在只对常读和星标的公众号才展示大图推送,建议大家能把威零科技“设为星标”,否则可能就看不到了啦!免责声明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格...
越权漏洞简单分析
学网安渗透扫码加我吧免费&进群 ...
某上X交漏洞挖掘到拿到证书过程
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!免责声明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一...
G.O.S.S.I.P 阅读推荐 2023-02-17
今天我们要介绍的这篇IEEE S&P 2023论文 Investigating Package Related Security Threats in Software Regist...