/发布会预约/ 洞态商业版发布会2022年5月18日14:00预约直播,收获精彩洞态作为全球首款开源的应用安全运行时检测产品,自开源以来已在58同城、同程旅行、知乎、陌陌、360...
某上市公司渗透测试
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x01 前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担...
巧用对象存储回源绕过SSRF限制
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x01 前言笔者之前在Web漏洞挖掘指南 -SSRF服务器端请求伪造介绍了SSRF某些场景下的利用和绕过方法,有时开发...
某房地产公司内网渗透测试
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x01 前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担...
【云安全】微软云对象存储攻防
文章首发于:火线Zone社区(https://zone.huoxian.cn/)01 Blob配置错误-公开访问在创建存储账户时,默认是启用Blob公共访问的,当创建容器的访问级别配置为容器...
记一次任意账号登录漏洞
文章首发于:火线Zone社区(https://zone.huoxian.cn/)一次偶然情况下, 发现在某app(app名称暂保密)中有个一键登录功能,由于一键登录不需要验证码、密码之类的校验,结合拦...
第二十一期听火沙龙之RedWorld101
第二十一期听火沙龙之RedWorld1011月22日19:00火线安全平台哔哩哔哩和视频号同步直播识别下方海报二维码免费报名火线Zone是[火线安全平台]运营的封闭式实战安全攻防社区,研究讨论实战攻防...
平台某项目-服务器SSH密钥与日志和命令记录泄露
前言 对于特殊的路径,我比较喜欢收集,然后批量扫子域名,来获取到敏感信息,在之前的渗透里面,机缘巧合下,拿到了一次最贵的信息泄露的漏洞。路径链接如下/.bashrc 个人配置记录/.ssh/autho...
记一次个人信息修改处的小技巧
前言 在最近的一次app渗透中,发现了一个有意思的漏洞,想和大家分享一下这是该app的个人信息板块如果要修改手机号码的话,它需要进行手机号码的短信验证然后抓包,点击修改姓名按照它的json格式去添加p...
火线资产服务,助你HW行动!
火线资产服务,助你HW行动01什么是资产梳理?02火线的互联网资产梳理服务可以做什么?03如何使用火线的互联网资产梳理服务? 火线资产服务火线“啸天”是全攻击视角的...