背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&User,他们在这两个权限之中发现了...
一则SSRF漏洞的故事
背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&User,他们在这两个权限之中发现了...
通过重置密码token泄露收获€2500赏金
什么是ATO? ATO全称Account TakeOver,中文一般翻译为“帐户劫持或帐户接管”,ATO一般有多种方式可以实现,比如: 当攻击者使用以往数据泄露中获取到的用户名、密码尝试未经授权访问其...
XSS!一次成功绕过Akamai WAF的经历
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
【虚幻梦境】缅北诈骗故事 09 屈辱眼泪
缅北诈骗故事 09 屈辱眼泪重要的事情说三遍,不要去缅北!不要去缅北!不要去缅北!那里不是天堂,不是理想中的美好世界。人命在那里,最不值钱!千万不要觉着,自己有能力,敢打敢拼,可以驾驭这一切...
【虚幻梦境】缅北诈骗故事 08 活该被骗
缅北诈骗故事 08 活该被骗 重要的事情说三遍,不要去缅北!不要去缅北!不要去缅北! 那里不是天堂,不是理想中的美好世界。 人命在那里,最不值钱! 千万不要觉着,自己有能力,敢打敢拼,可以驾驭这一切,...
利用 XSSI 窃取 AccessToken
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:本篇是发现跨站脚本包含 (XSS...
「ChatGPT克星」升级:老师可以把全班作业丢进去检测了!
「ChatGPT克星」,升级了!没错,就是之前华人小哥Edward Tian所打造出来的那个GPTZero,几秒内就能摸清文字是人类还是AI写的。而时隔近一个月,小哥所推出的版本名叫GPTZeroX,...
免杀文章合集
下载地址 https://github.com/TideSec/BypassAntiVirus 原文始发于微信公众号(W小哥):免杀文章合集
安卓锁屏不到 2 分钟被破解,仅需换一张 SIM 卡
换个 SIM 卡,就能解锁别人的手机?!并且整个解锁过程不超过两分钟。一位外国小哥偶然间发现了谷歌 Pixel 手机上的这个漏洞:能够直接绕过手机本身的指纹和密码保护,切换手机卡就能更改密码解锁屏幕。...
如何在Bugcrowd公共项目中找到50多个XSS漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:今天的分享来自一位名为Taksh...
如何在一个月内发现数个FaceBook漏洞
今天来看看一位国外白帽子小哥如何在一个月的时间内,利用自己的方法和工具挖掘出数个FaceBook漏洞的。首先来看看这位白帽小哥在一个月内都发现了哪些漏洞:1、SSTI致RCE (严重)2 、2处 SQ...