扫码领资料获网安教程本文由掌控安全学院 - zbs 投稿找到一个平平无奇的短信验证登录接口0x01 思路1.信息搜集 该学校学生的电话、学号2.找注册点 ==> 登录后往往有更多功能,并且对自己...
漏洞挖掘 | 某大学平行越权漏洞
扫码领资料获网安教程本文由掌控安全学院 -zbs 投稿漏洞复现:一处就业信息服务的登录接口:思路:通过信息搜集,发现存在网上泄露学生密码危害:1.账号为学号,密码为身份证后六位;【运气好在贴吧或者啥网...
edu上海某xx大学xxx逻辑漏洞
扫码领资料获网安教程本文由掌控安全学院 -zbs 投稿漏洞复现:一处就业信息服务的登录接口:思路:通过信息搜集,发现存在网上泄露学生密码危害:1.账号为学号,密码为身份证后六位;【运气好在贴吧或者啥网...
【案例分享】消失的登录页面
0x00前言在某次测试过程中,遇到了这样一个网站,存在登录页面但却无法直接通过地址栏访问login页面。在 JS 文件中发现了默认密码,同时找到了登录接口,然而密码进行了加密。通过分析JS文件,最终通...
登录接口验证码识别爆破
在渗透测试中我们可能遇到如下的验证码。很漂亮的验证码,可以进行图像识别burpsuite现在常用的验证码识别的插件有captcha-killer-modified:https://github.com...
记录某src登录接口梅开三度
前段时间心血来潮挖掘某src,遇到个商户平台。然后缘分就来了前期无非就是信息收集+信息收集然后平台是一个登录接口,存在密码找回功能以及短信验证码登录功能。梅开一度在一个睡不着的中午,打开了事先准备好的...
SRC众测中某大厂一次高危漏洞挖掘
连续性尝试+字典+自动化重点 需要一个良好的字典:1.常用的账号密码 2.社工库 3.指定的字符按照指定的规则进行排列组合生成特定的密码1.概念:如果一个网站没有对登录接口实施防暴力破解的措施或者不合...
记一次某授权站丝滑Getshell思路
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。信息收集首先拿到站点先进行访问可以看到这是一个后台管理平台,通过使用Chrome中的插件看一下此站点使用了...