0x01 前言 在日常挖掘漏洞的过程中,本想拿点edusrc,毕竟还没挖过相关方向的,动不动就是学生认证,社工、账号收集本就是让我头脑发热的 本次漏洞基本上以API接口延展的,中间经历了文...
微信小程序渗透测试指北(附案例)
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击「阅读原文」体验更佳。(本文首发博客:https://sanshiok.co...
实战 | 记某次逆向小程序解密及签名破解
原文首发奇安信攻防社区:https://forum.butian.net/share/2786前言这是之前做的一个项目,想着从小程序入手,当我打开burp抓到流量看到加密的数据包,以及sign签名参数...
PC端微信小程序反编译
点击上方蓝字关注我们免责声明本文仅用于参考和学习交流,对于使用本文所提供的信息所造成的任何直接或间接的后果和损失,使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本文内容时...
微软GitHub遭大规模攻击,超过10万个存储库被感染;4月1日起国内多地未备案App、小程序、快应用等将下架关停
微软GitHub遭大规模攻击,超过10万个存储库被感染; 据 IT 之家报道,网络安全公司 Apiiro 报告称,GitHub 遭受了大规模攻击,可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储...
实战 | 若依前后端分离下的渗透测试
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。还在学怎么挖通用漏洞吗?快来加入星球~下方有优惠卷,还剩一天优惠由于微信公众号推送机...
SRC邀请处逻辑越权到组织管理员漏洞
1.在挖掘某src漏洞时候信息收集的时候收集到某小程序 该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的 这里我们准备两个测试账号(A和B) 2.我们登录进去该小程序,按照正常步骤流程注册...
网安简报【2024/2/26】
2024-02-26 微信公众号精选安全技术文章总览洞见网安 2024-02-26 0x1 不同端下的漏洞挖掘Str1am Record 2024-02-26 20:31:00 在日常的漏洞...
不同端下的漏洞挖掘
在日常的漏洞挖掘过程,经常会遇到某一系统存在多个不同端中,如常见的web端、桌面端、公众号端、小程序端、app端。在这些端中经常会遇到一些问题,这里常遇到的,如接口适用、隐藏接口、接口规则猜解等问题,...
SRC案例 | 某公司小程序四个漏洞挖掘过程
前言好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。漏洞一:逻辑漏洞找到第一个小程序然后微信登陆此小程序接着在...
某次Edu校友会通用型漏洞
0x00 漏洞介绍 漏洞名称:**某校友会小程序存在接口未鉴权问题 漏洞等级:中危 漏洞URL: https://asd.***.edu.cn/api/admin/config/get 漏洞信息:某校...
渗透测试完整思路及详解-信息收集第1篇
欢迎关注公众号:0x01 信息收集实思路-域名获取篇基于此大纲做详细描述补充1. 主域名收集 拿到一个目标,想要对该目标进行资产信息收集应该先寻找该目标的一些主域,通过对主域的收集可以方...
25