声明:本次渗透测试有合法授权,相关数据已脱敏处理 之前拿到站的时候总会按照惯例走一套信息收集的流程,没有对网站的功能进行全面分析,导致点位就在主站上而我却忙于信息收...
07月24日60 views评论sql注入
信息收集
实战:一些近期的漏洞挖掘案例
07月24日60 views评论sql注入
信息收集
07月24日60 views评论sql注入
信息收集
一次简单的支付漏洞挖掘,钱包充值0元购
背景:我在测试私人程序时发现了这个有趣的漏洞。我可以用我想要的余额充值我的钱包,然后使用积分在平台上购买商品。漏洞:我将在这里使用 XYZ 作为公司名称。XYZ 允许用户通过借记卡和 Paypal 为...
07月14日84 views评论paypal
漏洞挖掘
白泽带你读论文|APICraft
如需转载请注明出处,侵权必究。 论文题目:APICraft: Fuzz Driver Generation for Closed-source SDK Libraries 发表会议:Security ...
07月14日74 views评论fuzz
漏洞挖掘
2023更新版大厂面经 | 网络安全岗
主要提供两个方向,一个是漏洞挖掘,一个是红队。面了之后,直观感受是,面试也是有套路可言的。这里的套路指的不是所谓的出题套路,而是涉及的技术栈,都是大同小益的,无非就是那么几样,java,域为主体,其他...
07月12日275 views评论反序列化
网络安全
2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(上)
2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(上) 引言 第八届上海市大学生网络安全大赛 暨“磐石行动”2023(首届)大学生网络安全邀请赛 —— CTF比...
07月12日75 views2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(上)已关闭评论SecIN安全技术社区
漏洞挖掘
2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(下)
2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(下) 引言 第八届上海市大学生网络安全大赛 暨“磐石行动”2023(首届)大学生网络安全邀请赛 —— CTF比...
07月12日133 views2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(下)已关闭评论SecIN安全技术社区
漏洞挖掘
记一次大汗淋漓后的SRC漏洞挖掘
0x00 乒乓开局 公司乒乓球桌复原,正式开始了乒乓之旅,每晚都打得大汗淋漓 在一次大汗淋漓后回到工位打开了ARL 0x01 常规操作 访问并提取URI接口,我一般喜欢直接找list、user等 查看...
07月12日44 views记一次大汗淋漓后的SRC漏洞挖掘已关闭评论敏感数据
漏洞挖掘
一次简单的五千赏金漏洞挖掘记录
0x01 前言 最近一直忙于学习,公众号一直未更新,大家见谅。 0x02 漏洞背景 一次众测项目,授权对目标子域进行渗透,我们称目标为target.com。 0x03 漏洞挖掘过程 漏洞一: 存在一个...
07月06日7 views评论漏洞挖掘
赏金
记一次任意文件下载到RCE的渗透测试
作为一名白帽子,我认为最重要的是我们要在最大限度内尝试利用漏洞,最终导致该漏洞产生更大的影响。发现漏洞时不要急于提交。0x00、信息搜集常规信息搜集,不过多叙述,重点放在危害提升。0x01、LFI漏洞...
06月30日78 views评论rce
渗透测试
记一次facebook 15000美金赏金的漏洞挖掘
记一次facebook 15000美金赏金的漏洞挖掘我如何能够黑掉 Facebook 20 亿个账户中的任何一个,而他们却付给我 15,000 美元赏金我根据负责任的披露政策征得 Facebook 的...
06月27日47 views评论beta
漏洞挖掘
记一次泄露PII的漏洞挖掘经历
泄露PII的漏洞挖掘经历什么是PII(Personal Identifiable Information)个人可识别信息这是有关一个人的数据,这些数据能帮助识别这个人,如姓名、指纹、电子邮件地址、电话...
06月27日44 views评论pii
漏洞挖掘
漏洞挖掘—从任意文件读取漏洞到获取账户利用
开篇 大家好,我是承影战队的v1ct0ry,这次我为大家分享一次比较有趣的漏洞挖掘经历。这次挖掘过程是以灰盒挖掘为主要思想进行展开,不熟悉的读者可以阅读上篇文章熟悉一下。 一、任意文件读取 开局我们通...
06月26日33 views评论任意文件读取漏洞
漏洞挖掘
71