免责声明❝由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,...
小程序逻辑漏洞实战记录
点击蓝字,关注我们一次手势密码无限验证次数某次测试一个金融小程序,找了一圈一无所获。后来盯上了“手势密码”正常只可以输入5次输入错误的手势密码,只剩最后1次的时候重新进入小程序,发现重新记录输入次数,...
如何使用大型语言模型(LLMs)自动检测BOLA漏洞
本文介绍了对一种名为 BOLABuster 的方法所进行的研究,该方法使用大型语言模型 (LLM) 来检测对象级授权损坏(BOLA)漏洞。通过大规模自动化 BOLA 检测,我们将在识别开源项目中的这些...
WEB常见漏洞之逻辑漏洞(基础原理篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
php代码审计案例之Bluecms(一)
前 言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是...
浅析二进制代码相似性检测技术
一、背景代码相似性检测是指通过一定手段比较两段代码在语义、语法、程序逻辑等方面的相似性,包括源代码相似性检测和二进制代码相似性检测。由于源代码的获取难度较大,目前应用较为广泛的是二进制代码相似性检测。...
漏洞的分类
按照漏洞的形成原因,漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。按照漏洞被人掌握的情况,漏洞又可以分为已知漏洞、未知漏洞和0day等几种类型。&nb...
业务逻辑漏洞挖掘
一. 前言随着各类前后端框架的成熟和完善,传统的SQL注入、XSS等常规漏洞在Web系统里逐步减少,而攻击者更倾向于使用业务逻辑漏洞来进行突破。业务逻辑漏洞,具有攻击特征少、自动化脆弱性工具无法扫出等...
入门汇编语言的五大技巧
程序员书库(ID:CodingBook) 猿妹整编链接:https://blog.stephenmarz.com/2021/05/12/tips-to-writing-assembly/编程是门艺术,...