声明 本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。 前言 一个src厂商，准确的说是子公司...

  信息泄露漏洞： 从一处访客预约小程序入手，在预约功能处，关注到以下信息。 可以看到这里被访人姓名显示的是自动获取，则这里就有一个通过手机号获取被访人姓名的接口，但在前端只显示了姓名，其实...

No.1实战记录来到这个站点 发现没有注册的地方 应该是个内部人员的管理平台尝试爆破了一下 无果 简单看了一下findsomething 注意到了几个接口 简单fuzz一下发现返回长度有点不一样看一下...

在 Web 安全领域，越权访问漏洞主要分为垂直越权和水平越权两种类型。本文将着重探讨垂直越权测试的思路与方法 。早期在学习小迪的相关视频时，我了解到一种垂直越权的测试方式：通过替换高权限账号与低权限账...

  1. 访问目标 在漏洞挖掘时，我们再次遇到一个仅提供登录表单的目标系统，我们尝试通过 数据泄露监控平台 寻找可能存在的凭据信息，以便用于登录目标系统。长话短说，我们找到了一组有效的账户信...

声明：由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。如有侵...

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！什么是批量分配？批量分配（也称为自动绑定）可能会无意中创建隐藏参数。当软件...