视频教程 | CN-SEC 中文网

安全文章

破解 JWT：漏洞赏金猎人指南（第一部分）

前言：文章索引和路线图在本系列教程中，我们将深入剖析大多数应用都忽略的 JWT 身份验证漏洞。下方列出了一系列漏洞，从简单的漏洞利用到一些高危漏洞，一一为您一一列举。🗿文章索引介绍如今，JWT 已成为...

06月22日20 views评论

阅读全文

安全文章

如何在密码重置链接中使用主机头注入来入侵账户 — $$$$

在今天的博客中，我将分享一个我去年发现的有趣漏洞，该漏洞允许我通过操纵密码重置链接来接管用户帐户。此漏洞称为通过主机头注入进行密码重置中毒。 🌟 什么是密码重置中毒？当您忘记密码时，网站通常会提供“...

06月20日23 views评论

阅读全文

安全文章

JavaScript、JWT 和不应该存在的密钥

🧠 前提有些黑客攻击不需要零日漏洞、漏洞链或精英工具。有时，您所需要的只是一个写得很差的auth.js、面向公众的 JavaScript 包，以及一点点好奇心。这是一个关于前端 JavaScri...

06月18日14 views评论

阅读全文

安全文章

一个简单的侦察任务如何让我赚到₹XX,000

安全漏洞并不总是那么引人注目。有时，你不需要弹出shell或找到RCE就能造成影响。有时……你只需要一点好奇心和大量的侦察。这个故事讲述了我如何偶然发现印度最大的股票经纪公司XYZ的一个暴露的原始...

06月14日20 views评论

阅读全文

安全闲碎

大量手机隐私泄露你中招了吗？

你的手机还有隐私可言吗？央视曝光某国公司故意向间谍提供手机后门，泄露了大量用户的隐私信息，就连你昨天浏览了什么视频都能查得清清楚楚，你说恐怖不恐怖？说到这里，相信大家应该也猜到了这是哪家手机公司了。平...

06月14日11 views评论

阅读全文

安全文章

账户验证中的群发消息注入和IDOR攻击

大家好，希望大家一切顺利。今天，我将分享一篇详细的文章，介绍我在同一个程序中发现的两个影响深远的漏洞——这两个漏洞都影响了用户信任和核心账户验证功能。这个漏洞赏金计划的覆盖范围比较窄，只有 2-3 ...

06月09日21 views评论

阅读全文

安全文章

从用户到管理员：我如何从无名小卒到拥有管理面板

让我们来谈谈我最近发现的一个漏洞 —— 该漏洞允许我绕过电子邮件验证、提升权限并完全控制应用程序的管理面板，而无需接触原始凭据。🔥 谁啊❓ 大家好，我是vamsi(Xh081iX)，一位安全研究员和漏...

06月06日17 views评论

阅读全文

安全新闻

为什么黑客喜欢入侵打印机？

你知道为什么黑客都喜欢入侵打印机吗？假设你是一名新手黑客，接到任务要求拿到某设备的数据，你第一反应是入侵服务器然后控制管理员电脑不就行了？于是你利用0day开启了入侵，结果捣鼓半天也没突破防火墙。对方...

06月02日35 views评论

阅读全文

安全文章

通过电子邮件泄露 PII

背景有一个子域名最初超出了范围。不过，在我联系该公司后，他们同意将其纳入范围。这意味着很少有研究人员在这个领域竞争。了解子域名的功能该子域名允许用户注册账户。登录后，用户需要提交个人信息以申请该...

05月30日26 views评论

阅读全文

安全文章

我如何利用错误配置的 CORS 漏洞赚取 $$$

— 深入探讨跨域资源共享配置错误及其影响 📌 简介在本文中，我将向您介绍如何在漏洞赏金目标上发现一个CORS 配置错误漏洞，并最终获得 $$$ 奖励。虽然 CORS 问题经常被忽视，但当它们与需要凭...

05月29日10 views评论

阅读全文

安全工具

利用 Nuclei 最大程度提高渗透测试效率

欢迎阅读我的文章，我将在其中解释如何使用 Nuclei 等自动化工具来最大化和提高渗透测试的效率。首先，什么是渗透测试自动化工具？它是一款用于自动化渗透测试的工具，无需重复执行任务即可评估系统中的...

05月24日39 views评论

阅读全文

安全文章

我的异常 SSRF 发现

凡事总有第一次，不是吗？好吧，让我来告诉你我第一次因为一个 SSRF 漏洞获得“卓越”评级的经历。那是一段疯狂的旅程，充满了兴奋、沮丧，以及一些顿悟的时刻。如果你是一个漏洞猎人，或者只是一个热爱冒险的...

05月19日20 views评论

阅读全文

破解 JWT：漏洞赏金猎人指南（第一部分）

如何在密码重置链接中使用主机头注入来入侵账户 — $$$$

JavaScript、JWT 和不应该存在的密钥

一个简单的侦察任务如何让我赚到₹XX,000

大量手机隐私泄露你中招了吗？

账户验证中的群发消息注入和IDOR攻击

从用户到管理员：我如何从无名小卒到拥有管理面板

为什么黑客喜欢入侵打印机？

通过电子邮件泄露 PII

我如何利用错误配置的 CORS 漏洞赚取 $$$

利用 Nuclei 最大程度提高渗透测试效率

我的异常 SSRF 发现

在线咨询

微信