开局一个手机号登陆出,没别的功能。提取接口都有鉴权。测试短信轰炸,验证码复用,绑定漏洞也不行。但是用自己手机号登录后有一个接口有点奇怪,测了下可以遍历全站所有用户的信息,是用Current_user_...
05月01日2 views评论sec
越权漏洞
记一次越权漏洞
05月01日2 views评论sec
越权漏洞
05月01日2 views评论sec
越权漏洞
实战分享|Autorize如何让我躺赚接口越权漏洞赏金
年初我接了个外网系统的渗透项目,漏洞其实不是很多,但是高危也有几个,因为实战技巧专栏好久没更新了,所以趁着今天比较有时间,分享一个价值3k💰的接口越权漏洞实战细节。我总感觉漏洞是有共性的,万变不离其宗...
04月22日10 views评论burpsuite
越权漏洞
AIFuzzing越权工具使用分享
AIFuzzing越权工具使用分享:"小白的奇幻之旅" 🚀 目录 前言:为什么选择AIFuzzing 安装篇:那些年我们踩过的坑 配置篇:从"一脸懵逼"到"恍然大悟" 实战篇:当AI遇上越权检测 问题...
04月21日9 views评论fuzzing
敏感数据
某事业单位多处越权漏洞测试
前言一般小程序都是都比较好测试,因为不像单纯的WEB网站一样需要登录后台或者注册进入才有比较多的功能点进行测试,反之小程序只需要访问就有大把的功能点进行测试,这次小程序就是功能点贼多。信息泄露这里访问...
04月10日10 views评论信息泄露
越权漏洞
通杀分析 | 从硬编码泄露到越权漏洞审计过程!
免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉...
04月10日5 views评论硬编码
越权漏洞
PrivHunterAI: 利用主流AI检测越权漏洞的被动扫描工具
简介 一款通过被动代理方式,利用主流 AI(如 Kimi、DeepSeek、qianwen、hunyuan 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API 构建,支持 HTT...
04月09日4 views评论使用者
越权漏洞
Src实战分享-某汽车公司小程序越权漏洞
漏洞描述:越权查看他人收货地址导致的信息泄露漏洞等级:高漏洞类型:越权漏洞危害:信息泄露漏洞详情:点击下方小程序在商品进行下单时进行选择地址点击编辑抓包用BurpSuite进行抓包修改addressI...
04月09日20 views评论信息泄露漏洞
越权漏洞
InfiltrateX 自动化越权扫描工具
工具介绍 一个好用的越权扫描工具,越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。 下载地址 https://github.com/Ed1s0nZ/In...
04月06日10 views评论扫描工具
越权漏洞
InfiltrateX自动化越权扫描工具
1、工具介绍 InfiltrateX越权扫描工具,是一款越权漏洞自动化检、流量分析、cookies综合检测工具解决了越权漏洞自动化检测难的问题 2、主要功能介绍 AI 驱动:InfiltrateX 结...
04月06日20 views评论扫描工具
越权漏洞
利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具
工具介绍 PrivHunterAI一款通过被动代理方式,利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API ...
03月31日26 views评论deepseek
gpt
SRC漏洞挖掘之越权漏洞挖掘实战指南
一、越权漏洞简介1.1 什么是越权漏洞?越权漏洞(Privilege Escalation)是指攻击者通过某种方式绕过系统的权限控制机制,访问到超出其正常权限范围的资源或功能。这种漏洞通常发生在Web...
03月18日安全文章27 views评论漏洞挖掘
越权漏洞
金融业时序竞争越权漏洞
为了感谢感谢大家的支持,决定在写完“金融项目渗透测试指南”前,时不时分享一些案例给大家,希望能对大家有用。前言测试一个金融项目,发现一个挺有趣的漏洞。该业务流程是发起流程会创建一个业务id,业务的...
03月17日9 views评论业务流程
越权漏洞