学安全 | CN-SEC 中文网

安全文章

从无危害逻辑漏洞到通用漏洞挖掘

偶然遇到一个管理平台,感觉这里有洞,试试吧试几个常见的弱口令无果之后,尝试f12找找当前页面js中有没有敏感接口。例如未对外开放的注册、找回密码、登陆的逻辑判断等,有时候在页面看不到的功能可能在js中...

02月12日15 views评论

阅读全文

安全文章

src|双写手机号任意用户登陆

免责声明：本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，...

12月17日17 views评论

阅读全文

安全文章

src|简简单单验证码回显

前言经常挖漏洞的应该知道，有一个漏洞叫做验证码回显，这个漏洞比较离谱，短信验证码不仅发到你手机上，还在返回包中告诉你，当你苦苦猜解验证码的时候，蓦然回首，那码却在，返回包中。可能说出现的概率不大，...

11月29日16 views评论

阅读全文

安全文章

src|验证码可爆破导致任意用户注册

前言作为一名登陆口对抗工程师，碰到最多的场景莫过于输入手机号，获取验证码，输入验证码进行注册/登录，此处很可能存在漏洞，当验证码可以进行爆破时，就可实现任意用户注册或者登录。漏洞挖掘 ...

11月18日13 views评论

阅读全文

安全文章

木马分析|一次银狐变种木马的逆向分析报告+附件

本篇文章共3000字，完全阅读全篇约8分钟，州弟学安全，只学有用的知识0x01 前言在上一篇文章中，文末我们提到了一则APT攻击事件↓蓝队研判|攻击流量事件研判计划-从此成为"秒男"(附文件)...

11月06日122 views评论

阅读全文

安全工具

漏洞扫描工具 vulcat

0x01 工具介绍vulcat可用于扫描web端漏洞(框架、中间件、CMS等), 发现漏洞时会提示目标url和payload, 使用者可以根据提示对漏洞进行手工验证，使用者还可以自己编写POC, 并添...

11月03日19 views评论

阅读全文

安全工具

网动统一通信平台ActiveUC信息泄露漏洞

漏洞简介网动统一通信平台是采用统一的通信界面，将VoIP电话系统、电子邮件等多种沟通方式融合的企业IT平台。网动统一通信平台（ActiveUC）存在敏感信息泄露漏洞，攻击者可以通过该漏洞获取管理员账...

10月28日45 views评论

阅读全文

安全工具

基于JAVA开发的收集工具

IPAddr一个爬虫图形化工具了，为了处理更多的IP，特别是IP归属地的排查情况，因此每天要写出表格统计十分麻烦。开发这个工具来减轻工作量，并解决实际问题，提高办公效率。0x2IPAddr获取http...

09月28日14 views评论

阅读全文

安全职场

漏洞不收，系统就安全

【文末送：25届秋招信息表】同源漏洞我不收今天看到圈子里一个小哥发文说，自己1月份提交的src漏洞，直到今天还没过，最终被审核忽略。审核给的理由是，你提交的漏洞和较早之前提交的漏洞重复了，所以被忽略。...

09月10日45 views评论

阅读全文

某绒6.0内存查杀

原文始发于微信公众号（Relay学安全）：某绒6.0内存查杀

08月29日安全文章22 views评论

阅读全文

HW&HVV

「24年HVV结束时间表」8月30号第一批结束，9月13第二批结束？

最新号外，来自xdm的消息：8月30号前，未失陷的单位退出，存在失陷的单位继续参加至9.13，全体过完中秋后，进行沙盘推演复盘至9.22，全部结束。这是为了让大学生们抓紧返校上学吧 &...

08月22日364 views评论

阅读全文

从无危害逻辑漏洞到通用漏洞挖掘

src|双写手机号任意用户登陆

src|简简单单验证码回显

src|验证码可爆破导致任意用户注册

木马分析|一次银狐变种木马的逆向分析报告+附件

漏洞扫描工具 vulcat

推荐一款字典爆破工具 FuzzPayloadGennerator

网动统一通信平台ActiveUC信息泄露漏洞

基于JAVA开发的收集工具

漏洞不收，系统就安全

某绒6.0内存查杀

「24年HVV结束时间表」8月30号第一批结束，9月13第二批结束？

在线咨询

微信