本文由掌控安全学院 -杳若 投稿 打点 开局一个登录框 信息收集 发现了一处接口泄露了部分信息 不过只有支付宝密钥的信息无法扩大危害,此时尝试寻找了一下其他同类型系统同样的接口,查看一下是否泄露的信息...
03月02日8 views评论rce
账号
记信息泄露到RCE
03月02日8 views评论rce
账号
03月02日8 views评论rce
账号
SRC | 某后台登录绕过到getshell
本文由掌控安全学院 -17828147368 投稿 开局一个登录框,漏洞全靠运气,先测试一下弱口令无果,再来个万能密码绕过登录试试 我*,直接进去了,主要这个系统给人感觉就老 一般只要进入后台,功能点...
02月26日27 views评论getshell
后台
公益src | 一次简单的验证码绕过
本文由掌控安全学院 -好好好 投稿1、在漏洞平台,公益SRC上,找一个网站,找到登录处 2、抓包,发现密码明文,放到Repeater,多次Go,发现没有验证码,也不限制次数 3、尝试进行爆破,得到密码...
02月25日14 views评论go
密码
某大学招聘平台存在逻辑漏洞
本文由掌控安全学院 - 葵先生 投稿 找到一个学校的就业信息网, 随便点击一个招聘会,并且抓包查看返回包 注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电...
12月11日22 views评论参数
逻辑漏洞
实战纪实 | 记一次攻防演练
免费&进群本文由掌控安全学院 - 我不是大佬 投稿看到一处登录后台,各种操作都尝试过无果,翻了一下js,看到一处文件上传接口泄露(没图了,已经整改了)构造上传数据...
11月13日34 views评论弱口令
攻防演练
记一次项目上某系统web渗透测试
获网安教程免费&进群 本文由掌控安全学院- 雷婷万钧投稿第一个信息泄露漏洞首先在登录页忘记密码处点击查询获取用户进行抓包可以获得用户的token固定id值第二个...
09月05日24 views评论sql注入
ssrf
靶场上新:Nacos未授权访问
本文由掌控安全学院-江月投稿 封神台新上线漏洞复现靶场:nacos未授权访问。 漏洞详情: Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-...
06月26日30 views评论证书
靶场
SRC刷分技巧-自动化漏洞检测
获网安教程 免费&进群 一些自动化漏洞挖掘的技巧和思路的分享 Google谷歌爬虫+WebRobot自动化SQL检测 这里先用之前的谷歌爬虫爬取足够多的url链接 我这里爬了差不多600条 再...
06月01日86 views评论xray
自动化
“打响交大第七炮”
现在只对常读和星标的公众号才展示大图推送,建议大家能把威零科技“设为星标”,否则可能就看不到了啦!免责声明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格...
05月16日27 views评论id
sql注入
越权漏洞简单分析
某上X交漏洞挖掘到拿到证书过程
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!免责声明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一...
04月25日43 views评论id
sql注入
G.O.S.S.I.P 阅读推荐 2023-02-17
今天我们要介绍的这篇IEEE S&P 2023论文 Investigating Package Related Security Threats in Software Regist...
02月18日17 views评论分享
论文