未授权 - 第 18 | CN-SEC 中文网

安全工具

Burpsuite API敏感信息查找插件

工具介绍攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，该插件能让我们发现未授权/敏感信息/越权/登陆接口等。发现通过某接口可以...

06月12日51 views评论

阅读全文

安全漏洞

ShowDoc在线文档未授权sql漏洞

漏洞复现 ShowDoc在线文档未授权sql漏洞文章声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的...

06月11日131 views评论

阅读全文

安全工具

burp插件:gatherBurpgatherBurp

目前功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板生成指定kb大小的随机字符串使用说明 ...

06月08日18 views评论

阅读全文

安全工具

burp插件:gatherBurp

功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板使用说明请使用mvn clean pack...

06月08日19 views评论

阅读全文

安全文章

SRC逻辑漏洞合集

文章正文 0x01 未授权未授权问题为普通用户登录或没有登录后，拼接js接口，构造报文，越权实现管理员的权限操作。原因：后端没有校验Cookie/Session的身份信息，以至于普通用户的权限可以实...

06月07日28 views评论

阅读全文

安全工具

一款集合多个漏洞扫描功能的Burp插件

点击蓝字关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...

06月06日35 views评论

阅读全文

安全新闻

Zyxel NAS 未授权文件上传限制不当可致远程代码执行

漏洞描述: Zyxel NAS326和NAS542设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞,未经身份验证的威胁者可通过将恶意设计的配置文件上传到易受攻击的设备导致执行任...

06月05日56 views评论

阅读全文

安全漏洞

Nacos未授权下载配置信息

众所周知nacos不管是渗透测试或者红蓝攻防过程当中出现频率颇高，当我们通过一系列手段进入系统后台后往往会去看配置信息，看是否会泄漏服务密码或者oss存储桶信息。有没有漏洞可...

06月03日123 views评论

阅读全文

安全工具

一款综合的burp插件-gatherBurp

01 工具功能 fastjson扫描权限绕过扫描未授权检测扫描 sql注入检测多层级路由扫描工具调用 log4j检测复杂数据提交一键生成nuclei模板 02 使用说明皆可通过使用鼠标右...

06月03日34 views评论

阅读全文

安全新闻

【漏洞预警】Showdoc 未授权 SQL注入漏洞

漏洞描述:ShowDoc V3.2.5 之前的版本中存在SQL注入漏洞，攻击者可通过此漏洞获取登录登录token并进入后台。进入后台后可结合反序列化漏洞，写入WebShell，从而获取服务器权限。修复...

05月28日183 views评论

阅读全文

安全工具

攻防演练过程中，发现未授权/敏感信息/越权/JS文件/登陆接口的插件

工具介绍攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该Burp插件我们可以：1、发现通过某接口可以进行未授权/越权获取到所有...

05月27日35 views评论

阅读全文

安全文章

漏洞挖掘 | 另类未授权之精准丢包

前言去年的洞，不小心翻到了，今天又看了一下，发现这个思路还可以，所以给大家分享一下。从ACL拿下一个url随便测测，发现它是先进入后台再跳转到首页，于是我用burp抓包不放让它卡在后台页面不过并没有啥...

05月25日13 views评论

阅读全文

Burpsuite API敏感信息查找插件

ShowDoc在线文档未授权sql漏洞

burp插件:gatherBurpgatherBurp

burp插件:gatherBurp

SRC逻辑漏洞合集

一款集合多个漏洞扫描功能的Burp插件

Zyxel NAS 未授权文件上传限制不当可致远程代码执行

Nacos未授权下载配置信息

一款综合的burp插件-gatherBurp

【漏洞预警】Showdoc 未授权 SQL注入漏洞

攻防演练过程中，发现未授权/敏感信息/越权/JS文件/登陆接口的插件

漏洞挖掘 | 另类未授权之精准丢包

在线咨询

微信