0x01 前言 致远OA是一款协同管理平台,主要面向中大型、集团型企业和组织的协同管理软件产品。该漏洞是由于致远OA修改用户密码时收发验证码的接口存在缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意...
价值2500美元的未授权文件泄露
“ h1”看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP备考,车联网,渗透红...
向未授权设备说「不」,苹果和谷歌联合推出防追踪新功能
5月13日,苹果和谷歌正式宣布推出一项跨平台新功能,旨在发现那些未经用户授权的不明蓝牙追踪设备。该功能被称为「检测无授权位置追踪器(DULT)」,适用于最新发布的苹果 iOS 17.5版本以及谷歌An...
nacos未授权添加用户漏洞
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
Burp插件: AutoRepeater :自动化挖掘SSRF,Redirect,Sqli漏洞,自定义匹配参数
AutoRepeater Burp插件,自动化挖掘SSRF,Redirect,Sqli漏洞,自定义匹配参数。 (如果感觉对您有帮助,感觉不错的话,请您给个大大的 ⭐️❗️) 捡到洞欢迎分享喜悦❗️ 有...
记一次接口泄露到注入漏洞
依旧是一个平平无奇的周末,无聊的躺在家中。给自己找点乐趣吧。吃过晚饭,掏出我的电脑,打开FOFA。开始漫无目的的浏览。看到一个数据治理平台。想起前段时间挖的数据治理平台的未授权决定看看这个存不存在。于...
从跨省级弱口令到CNVD证书
被某平台拒了,说技术含量不高~_~只能说人生不如意十之八九,我也想目标给我整点WAF绕着玩玩,氮素并没有呀。. . . * . * ☄️. * . * . 🔆 .* . ...
安服仔养成篇——漏洞修复
漏洞披露是安全服务工作的日常内容之一,常见漏洞扫描和渗透测试两种方式,完整的工作流程还包括了后续的复核以及提供漏洞整改建议,这篇文章给大家分享一下up在漏洞修复上的一些经验和容易遇到的问题,希望能对师...
Burpsuite API敏感信息查找插件 - BurpAPIFinder
工具介绍 攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,该插件能让我们发现未授权/敏感信息/越权/登陆接口等。 发现通过某接口可以...
API 安全专题(12)| API攻击是什么?如何有效防范API攻击?
API 攻击是针对应用程序接口的一种攻击手段,近年来逐渐成为网络安全领域的热点话题。攻击者主要针对应用程序接口中的漏洞或者错误进行API攻击,从而达到窃取敏感数据、进行恶意操作、破坏系统正常运行等恶意...
未授权访问合集
目录0x00 前言0x01 案例一 某事业单位接口泄露 发现过程 小结0x02 案例二 某建工公司档案库越权访问 发现过程 小结0x03 案例三 某JJ支队后台到代码泄露 发现过程 小结0x04 案例...
burp插件-发现未授权-敏感信息-越权-登陆接口
点击上方「蓝字」,关注我们因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标。操作方法:点击右上角的【...】,然后点击【设为星标】即可。01免责声明免责声明:该公众号分享的安全工...