购物车 | CN-SEC 中文网

安全文章

CSRF 删除任意用户购物车中的商品导致 $$$

各位猎人们，大家好！我很高兴能和大家分享我在测试一个在线购物网站上的私人漏洞赏金计划时发现的一些有趣的东西。我发现了一个CSRF 漏洞，该漏洞允许我在未经用户许可的情况下从任何用户的购物车中删除商品...

07月04日18 views评论

阅读全文

新手也能看懂的 Android 动态广播机制详解

📡 动态注册广播详解：什么是动态注册广播？如何发送与接收？内部通信实例及分析1. 什么是广播？广播（Broadcast）是 Android 提供的一种跨组件通信机制。它允许应用发送系统或自定义的消息（...

06月06日移动安全20 views评论

阅读全文

安全文章

业务逻辑漏洞-利用示例（二）

在本节中，我们将学习设计和开发团队所犯的一些典型错误的示例，来查看是如何直接导致业务逻辑缺陷的，主要包含以下五个方面：◆过度信任客户端控制◆无法处理非常规输入◆对用户行为做出有缺陷的假设◆特定领域的缺...

01月11日26 views评论

阅读全文

安全文章

【bodgeito】攻防实战全记录

也许有一天我们再相逢，睁开眼睛看清楚，我才是英雄。进入网站整体浏览网页点击页面评分进入关卡一般搭建之后这里都是红色的，黄色是代表接近，绿色代表过关首先来到搜索处本着见框就插的原则构造payload输入...

12月22日5 views评论

阅读全文

安全文章

某金融赏金SRC 零元购

前言最近，金融、银行和证券行业也开始逐渐开放众测。相比于现在SRC挖掘越来越困难的情况，挖掘省地市金融SRC是非常不错的选择。今天分享个在地市金融中发现的逻辑漏洞，漏洞钱虽然不多，足够几次spa了。某...

10月31日58 views评论

阅读全文

安全文章

业务逻辑漏洞-工作流验证不足

今天，我将写关于我的方法论，因为我弄清楚了一个 Business Logic Vulnerability。这些文章来自受控环境，用于解释我的方法，以帮助您学习如何自己测试应用程序。目的从商店购买皮夹克...

10月31日28 views评论

阅读全文

安全文章

实战-支付漏洞

本文由掌控安全学院 - 学kali的小白投稿首先注册一个账户并进行登陆,点击一个商品点击进去这里为了方便查看数据包,我这边商品的数量选择3,点击立即购买并抓包 3.观察数据包,发现有个num传参...

09月28日9 views评论

阅读全文

人工智能安全

洞见RSAC 2024｜基于大模型的欺诈智能体该如何防护？

随着大模型的不断进化和发展，基于大模型的智能体（AI Agent）已具备强大的自主决策和行动能力，能够自动化处理各类复杂任务。然而，以智能体策动的攻击手段给企业的安全防护体系带来了前所未有的挑战。在2...

05月28日62 views评论

阅读全文

安全文章

记一次有趣的漏洞挖掘

0x0声明由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人承担，Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知，我们将立即删除相关内容并致歉。请遵...

05月15日13 views评论

阅读全文

安全文章

一个支付漏洞

正文目标为target.com 在购物车中添加一些商品并尝试下订单，同时观察到一个post api调用/cart/session这个接口，其中只有一个参数,即cartID，它投6位数值，例如:car...

01月03日23 views评论

阅读全文

安全文章

渗透 | 利用条件竞争突破优惠券仅能使用一次的逻辑限制

Portswigger练兵场之条件竞争条件竞争-突破一次逻辑限制 Lab: Limit overrun race conditions 实验前置必要知识点利用条件竞争有概率超过应用程序的业务逻辑的...

09月11日21 views评论

阅读全文

安全文章

演绎黑客之术：$2000引爆响应操控之力

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。题外话：一年一度的国内安全圈的“大狂欢”今...

08月09日52 views评论

阅读全文

CSRF 删除任意用户购物车中的商品导致 $$$

新手也能看懂的 Android 动态广播机制详解

业务逻辑漏洞-利用示例（二）

【bodgeito】攻防实战全记录

某金融赏金SRC 零元购

业务逻辑漏洞-工作流验证不足

实战-支付漏洞

洞见RSAC 2024｜基于大模型的欺诈智能体该如何防护？

记一次有趣的漏洞挖掘

一个支付漏洞

渗透 | 利用条件竞争突破优惠券仅能使用一次的逻辑限制

演绎黑客之术：$2000引爆响应操控之力

在线咨询

微信