2025 年 5 月,一名名为 “Stephanie” 的网络攻击者在暗网论坛上发帖,声称窃取了哥伦比亚武装部队总司令部的敏感信息,并试图以 40,000 美元的价格出售这些数据。攻击者“Stepha...
图片上传识别功能还能这样被利用?
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
小程序渗透记录:通过细节挖掘漏洞的艺术
来自团队核心成员SRC大佬:月 的原创近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分...
实战-漏洞挖掘
No.1挖洞过程通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功登录该校办事大厅进入学校某功能处存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、电话号码...
健康证泄露导致的越权漏洞
声明本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。前言这个漏洞存在于小程序上,我觉得相较于w...
大模型安全攻防
引言在人工智能的浪潮中,大模型如GPT-4、DeepSeek、Gemini、Qwen等,以其强大的语言理解和生成能力,正在深刻改变我们的生活和工作方式。这些模型不仅在自然语言处理、图像识别、语音合成等...
实战-EDU证书挖掘
No.1 挖洞过程 通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功 登录该校办事大厅进入学校某功能处 存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、...
通过细节挖掘漏洞的艺术
低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数...
src-请求参数原因导致信息泄露
在进行信息收集时,发现了一个域名在访问时跳转到培训报名登录界面在测试各个功能点德时候,点击-专题培训班,跳转到报名详情乍一看没有东西,但是,把请求参数进行删除时“P=1&KGUID=c7d8d...
一文看懂JWT如何重塑网络身份认证:从身份证到数字令牌
在现代网络应用中,安全性是一个至关重要的话题。JSON Web Token(JWT)作为一种广泛使用的身份验证和信息交换标准,因其简洁性和灵活性而受到开发者的青睐。本文将深入探讨JWT的产生背景、当前...
实战|小程序渗透记录 通过细节挖掘漏洞的艺术
原文于:https://forum.butian.net/share/4229原文作者:一天要喝八杯水如侵权请联系删除。近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮...
一次xss测试导致越权50000+信息泄露
声明本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关!前言算是edu相关的系统,但是是第三方系统,正巧一些小HW期间肯定尽自己最大努力测试啊。话不多说直...