大家好,我是Iwtbb,大三学生 信息安全专业,擅长云安全漏洞 大学期间累计获得众测奖励40W 此外,我也获得过一些荣誉奖励 Iwtbb:很高兴受邀i春秋的采访,在本期访谈中,我会介绍云安全漏洞的挖掘...
第一次Src漏洞挖掘记录
No.0 前言 隐雾师傅天天群里催着大家分享,大佬们都忙着挖洞,只有我先来抛砖引玉了,分享几个自己的挖洞案例,希望这次师傅能把码打全一点。 No.1 key复用 验证码登录这里的思路有哪些? 短信轰炸...
审核教父语录
不要让任何人知道你在挖洞1顶尖的白帽不是生来就顶尖,他在挖洞过程中返30%给审核 2 永远不要跟我生气,因为这会影响你的判断力 3 我不关心你的洞是高危的还是低危的,我只是要你知道,只有我有权利作出决...
挖洞新人必看&漏洞盒子公益SRC月榜上榜小技巧&上榜思路
对很多刚开始挖洞的小伙伴来说,漏洞盒子公益SRC绝对是一个不错的选择。盒子每个月都会按照白帽子师傅提交所获得的漏洞积分做一个排名,列表展示前五十位的师傅,这也就是盒子月榜。可能很多牛逼的师傅会觉得这个...
APP漏洞挖掘(一)某下载量超101万的APP有几个漏洞可以GetShell?
过完阴雨绵绵的十一国庆,才知道自己有APP漏洞挖掘任务,10月就剩下18个工作日,除去做项目、一些其他的工作,挖洞的时间只剩一周多,看来又要熬夜了,任务艰巨呐~从开始的迷茫、啥思路也没有,甚至两三天从...
实战 | 如何在挖洞中快速寻找XSS漏洞
如何在挖洞中快速寻找XSS漏洞一分钟内找到XSS注入的不寻常方法许多开发人员都听说过您不能信任任何用户输入,而且确实如此。但是,也有一些地方经常被忽视,从而导致漏洞。其中一个地方是……。注册功能点。在...
第二次挖edusrc与人生的第一个edusrc
0x00简介半年前,我也尝试过挖edusrc,直接用APPscan、AWVS、等工具直接扫,有一些身份证信息泄漏,不知什么原因,没有通过,信心丧失。如今又学了半年,感觉自己又行了,再次尝试,喜获一个低...
微信小程序抓包-pc版
“ 微信小程序抓不到包的解决方法。” &nbs...
《OWASP Top 10 2021》个人浅说
点击上方关注我们!OWASP Top 10 2021 是全新的,具有新的图形设计和一页有用的信息图。本文主要以对比2017的变化,以及2021主要内容两个方面来分析一下owasp2021的内容,以及未...
推荐一款自动向hackerone发送漏洞报告的扫描器
自从阿浪写了那个工具,总感觉没有web页面就是没有灵魂,然后在GitHub闲逛的时候,发现了这一款工具,用了一个多月,效果还行,可以平替,唯一的缺点就是搭建起来有些困难,需要修改文件来达到国内 搭建。...
实战挖掘一个某公司网站漏洞
作为一个资深安全菜鸟,主要是讲解常规挖洞的一个流程和思路,以找到的一个某公司sql注入为例,大佬轻喷网上很多资料及博客都有讲解,通过搜索引擎寻找网站漏洞,实际上整个挖洞的过程基本上是撞大运,掏出谷歌,...
实战 | 记一次在梦中对某oa系统的渗透测试
0x00 前言好久没写文章了,今天准备给大家分享一篇晚上做梦时候梦到的渗透测试文章(梦境具象化,嘿嘿嘿)0x01正文打开网站先用7kb扫一波目录哦吼,发现了一堆的目录遍历(绿色的都是)。这里一个 Lo...