No.0前言在众测中,找到了很多奇奇怪怪的漏洞,感觉很值得和大家分享一下No.1某助手小程序通过前端泄露的登录包,进行未授权登录到后台访问小程序:访问小程序的时候,发现业务的核心是在终端号和扫码识别等...
微信小程序漏洞之accesskey泄露
✎ 阅读须知 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! 1. Accesskey泄露漏洞 这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定...
一次项目上的渗透测试
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。0x00 前言 在一天中午,自己正在...
渗透实战 | 从外网直接打到内网全过程
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路 正文 目标:www.xxxx.com(一家教育机构) 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功...
SRC测试指南:从APl接口泄露到数据加解密的深入分析
0x01 API接口泄露Web端Web应用很多都是后端Springboot+前端Webpack的组合,在后端Springboot安全的时候,那么可以通过Webpack获取到目标系统的API接口信息。打...
重生第八篇之bypass WAF卡马路牙子上啦~
NEW YEAR小年快乐吉祥前言2023年12月5日,阳光明媚的日子,天空如洗,白云轻盈。带着愉悦的心情来到公司,继续投入昨天的渗透项目。随着思维快速运转,手中的工作有条不紊。在小程序中找到一处文件上...
记一次自动化域名收集获得JS中钉钉token利用
免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其...
工具|小程序强制开启F12开发者工具
最新版微信小程序强制开启开发者工具调试?实现效果:imagehttps://github.com/JaveleyQAQ/WeChatOpenDevTools-Python感谢志远大佬的WeChatOp...
记一次经典未授权下载案列
免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其...
记一次js接口泄露隱藏接口导致文件上传漏洞
免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将...
一键收集控股公司ICP备案、APP、小程序、微信公众号等信息
项目地址:https://github.com/wgpsec/ENScan_GO功能列表使用程序可能导致账号被封,仅用于信息收集用途,请勿用于非法用途若该程序影响或侵犯到您的权益,请与我们联系使用支持...
抓包-小程序+APP+PC应用+封包
Cherles抓取微信小程序数据包Burpsuite抓取微信小程序数据包——配合Proxifier工具配置Proxifier工具的代理服务器配置Proxifier工具的代理规则打开微信小程序,小程序流...
26