本文首发 Web 安全社区:https://web.sqlsec.com/thread/289 转载请注明出处!场景介绍下面这种图片上传场景经常存在接口未授权且无后缀限制的情况:成功访问页面可以正常解...
03月04日20 views评论页面
高危漏洞
文件上传由中危变高危的思路分享
03月04日20 views评论页面
高危漏洞
03月04日20 views评论页面
高危漏洞
通过各大安全圈文章巧取CNVD证书-1
一 前言 今天这篇文章针对于CNVD证书获取没有思路的师傅,来给大家提供一个简单的获取证书的思路。此次分享来自于“爱挖洞的小崔”讲师。 本篇文章多注重思路,技术内容较少,其实在CNVD挖掘这方面思路的...
03月03日16 views评论cnvd
证书
亿赛通 电子文档安全管理系统 ClientAjax 任意文件下载
00 漏洞概述 亿赛通 ClientAjax接口中InstallationPack参数可进行目录遍历,下载希特文件至本地。 01 空间搜索语法 FoFa title="电子文档安全管理系统...
02月21日37 views评论文档
管理系统
师傅们找工作避坑指南
为什么写这篇文章了?因为两个月前朋友单位新增加网络安全监控分析岗位,就是那种监控安全设备,有攻击封禁IP地址,每周再做个安全态势分析就可以了。4个人7*24小时值班,上1天休3天,工资7K+以上,不限...
02月21日20 views评论公司
师傅
越权漏洞合集
越权漏洞是在src挖掘过程中最好挖的漏洞,这次憋一个大的,一次性让师傅们把越权漏洞看个爽。 某证书站越权申请 注册成功过后来到个人中心,因为根据经验个人中心处是最容易出现越权的地方 来到个人中心——&...
02月15日13 views评论id
账号
某安全公众号严重抄袭事件!!!!
前言:下文近代表本人个人观点,如与本人观点不符,请勿阅读。前言本来没想写文的,但是当我在这个号往期文章找到自己的原创的时候,才发现,原创侵权已经部分人习以为常的,我不是为了我自己发声,我是为了每一个原...
02月05日86 views评论原创
师傅
受某师傅委托,分享一些好用的Burp插件,方便各位师傅更好挖洞,渗透
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才...
01月14日35 views评论burp
插件
安全水浅王八多,一群大专哥,日薪4k和外包驻场的差别在哪?别幻想了让我骂醒你!
这几天呢,收到好几位师傅对于就业和学业的咨询,碰巧又看到朋友圈一条挺真实的“段子”首先,我很欢迎迷茫的师傅来找我倾诉,一是麋鹿希望作为一个过来人能帮助到大家,二是迷茫是对现状的不满,也就是说渴望更好的...
01月09日30 views评论师傅
现状
CVE-2023-51467|SpringKill的Apache OFBiz RCE代审分析
此文章由SpringKiller安全研究师傅产出,这位佬是一个能独立开发一款企业级IAST,伸手0day伸脚1day,能手搓操作系统用脚逆向的师傅,还是OWASP的代码贡献者之一。哦,差点忘了,这个师...
12月30日71 views评论kill
rce
0day也是最好祝福!
文章来源:银遁安全 她是这个学校的,不知道为什么,就是想看看。19年那会没有勇气,现在终于有那么一点勇气了。但是错过了的终归是错过了。或许人生就是那么多的遗憾吧。这也或许是EDUSRC里我交的最后一个...
12月23日30 views评论day
原文
专访丨有关云安全漏洞挖掘的一些思考和总结
大家好,我是Iwtbb,大三学生 信息安全专业,擅长云安全漏洞 大学期间累计获得众测奖励40W 此外,我也获得过一些荣誉奖励 Iwtbb:很高兴受邀i春秋的采访,在本期访谈中,我会介绍云安全漏洞的挖掘...
12月20日25 views评论漏洞挖掘
网络安全
伪静态sql注入-Waf绕过
资产收集 今天换一种思路来讲讲资产收集 通过icp备案号来进行资产收集也是很管用的 例如上图所示可以把icp备案号拿去fofa进行查询,可以看到还有很多资产可以”操作“ 漏洞发现 如上述也是找到了这次...
11月12日33 views评论id
函数