我是如何突破层层限制利用ssrf 1.1 关于ssrf的基础理解 ssrf漏洞也就是服务器端请求伪造,简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给其它机器。 对于ssrf的利用相信很...
【漏洞实战研磨】实战 我是如何突破层层限制利用ssrf的
我是如何突破层层限制利用ssrf1.1 关于ssrf的基础理解ssrf漏洞也就是服务器端请求伪造,简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给其它机器。对于ssrf的利用相信很多小伙...
SQL注入漏洞实战
声明任何网络安全相关测试均需取得授权, 本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途, 否则由此产生的一切后果均与文章作者无关!前言一次渗透测试实战中的SQL注入 ,从延时注入耗费大量时间...
漏洞实战挖掘 - 某竞赛平台漏洞实战
本文章由团队成员[Tai]授权并发布 前情提要前几天参加了一场竞赛,报名后需要登录平台完善个人信息。在使用过程中,我不知不觉地打开了Yakit,结果意外发现了一系列安全漏洞。由于担心被发现,这里做了一...
Cloudflare + IP白名单仍被绕过?伪造X-Forwarded-For绕过IP白名单漏洞实战
0x01 前言 在正式分享之前,我还是想先说明一下,X-Forwarded-For 请求头是什么? X-Forwarded-For(XFF) 是一个 HTTP 请求头字段,用于...
手把手教你审计PHP CMS漏洞 | 某腾CMS漏洞实战案例分析
代码审计是保障Web应用安全的关键环节,但往往被许多开发者和企业忽视。无论是小型的个人网站,还是大型的电商、金融平台,代码的安全性都至关重要。在这个数字化时代,代码漏洞可能直接导致数据泄露、资金损失甚...
【漏洞实战研磨】之细说log4j2
say 最近工作生活学习和研究太多,时间着实有点不够用,而且有些文章现在由于某些因素还不能发还得等等,所以一直是静默状态。 ✅今天新启动一个合集,我为之起名叫【漏洞实战研磨】,这个我之...
一次完整的Jwt伪造漏洞实战案例
本文章由团队师傅[Tai]授权发布某次漏洞挖掘时遇到了任意用户登录漏洞,这次的漏洞案例是由于jwt存在弱密钥,攻击者可以伪造jwt,从而获取非授权访问权限。此外站点还存在弱口令,可以通过弱口令登录dr...
小程序逻辑漏洞实战记录
点击蓝字,关注我们一次手势密码无限验证次数某次测试一个金融小程序,找了一圈一无所获。后来盯上了“手势密码”正常只可以输入5次输入错误的手势密码,只剩最后1次的时候重新进入小程序,发现重新记录输入次数,...
某某学院H3C-IMC RCE漏洞实战
010x01漏洞描述H3C IMC(Intlligent Management Center)智能管理中心是H3C推出的下一代业务只能管理产品。它融合了当前多个产品,以统一风格提供与网络相关的各类管理...
黑客必刷的16个靶场(渗透基础、CTF、漏洞实战、内网渗透)
本文字数:1947|预计3分钟读完号主网络安全界混迹10余年,总结了16个网络靶场,这些不只是简单的网络靶场,这是求职的敲门砖、这是安身立命的试金石、这是黑客成长通向理想殿堂的必经之路。包括渗透基础、...
逻辑漏洞实战
0x01 前言逻辑漏洞自始至终一直是一个永恒的话题,逻辑漏洞是一种设计缺陷,通常表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误,也是目前大环境下比例比较高的漏洞,在以前挖逻辑也是i...