No.1挖洞过程通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功登录该校办事大厅进入学校某功能处存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、电话号码...
健康证泄露导致的越权漏洞
声明本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。前言这个漏洞存在于小程序上,我觉得相较于w...
大模型安全攻防
引言在人工智能的浪潮中,大模型如GPT-4、DeepSeek、Gemini、Qwen等,以其强大的语言理解和生成能力,正在深刻改变我们的生活和工作方式。这些模型不仅在自然语言处理、图像识别、语音合成等...
实战-EDU证书挖掘
No.1 挖洞过程 通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功 登录该校办事大厅进入学校某功能处 存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、...
通过细节挖掘漏洞的艺术
低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数...
src-请求参数原因导致信息泄露
在进行信息收集时,发现了一个域名在访问时跳转到培训报名登录界面在测试各个功能点德时候,点击-专题培训班,跳转到报名详情乍一看没有东西,但是,把请求参数进行删除时“P=1&KGUID=c7d8d...
一文看懂JWT如何重塑网络身份认证:从身份证到数字令牌
在现代网络应用中,安全性是一个至关重要的话题。JSON Web Token(JWT)作为一种广泛使用的身份验证和信息交换标准,因其简洁性和灵活性而受到开发者的青睐。本文将深入探讨JWT的产生背景、当前...
实战|小程序渗透记录 通过细节挖掘漏洞的艺术
原文于:https://forum.butian.net/share/4229原文作者:一天要喝八杯水如侵权请联系删除。近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮...
一次xss测试导致越权50000+信息泄露
声明本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关!前言算是edu相关的系统,但是是第三方系统,正巧一些小HW期间肯定尽自己最大努力测试啊。话不多说直...
小程序渗透记录 通过细节挖掘漏洞的艺术
原文首发:奇安信攻防社区https://forum.butian.net/share/4229近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!免...
挖洞日记 | 信息收集+任意重置
本文由掌控安全学院 - 腾风起 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 记得那是一个美丽冻人的下午,无意间翻到了一个站点,重置密码只需...
【漏洞挖掘技巧】新手师傅从0到1,如何挖到第一个EDUSRC
前言 edusrc 不像企业 src,大部分账号就是学号+身份证号或者默认的弱密码,因此弱口令的网站量要多得多,并且学校数量众多,所以 edusrc 弱密码无疑是挖掘 src 的最好入手点。 01 资...