前言本公众号发布内容仅做学习研究使用，严禁利用发布技术进行非法渗透测试，由于传播、利用本文所提供的信息造成直接或间接的损失，均由使用者本人负责！本文可以自行转载，但转载需要在清晰的地方标明出处与作者。...

漏洞01极简是一种极奢       在一次金融行业的渗透测试项目中，客户提供了一批资产供我们进行评估。其中，有一个名为“xx业务综合平台企业端”的系统引起了我的特别关注。仅从名称来看，这个平台很可能具...

在SRC（安全漏洞挖掘与利用）领域，逻辑漏洞是一类特殊且高价值的漏洞类型。不同于常见的代码执行、SQL注入等技术性漏洞，逻辑漏洞更多依赖于对系统业务流程的深刻理解和分析。这类漏洞往往隐藏在应用程序的业...

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后...

一、漏洞原理1、越权漏洞原理实现控制访问有些程序的管理员的管理页面只有管理员才显示，普通用户看不到，利用URL实现访问控制，但URL泄露或被恶意攻击者猜到后，这会导致越权攻击。2、未授权漏洞原理网站出...

偶然遇到一个管理平台,感觉这里有洞,试试吧试几个常见的弱口令无果之后,尝试f12找找当前页面js中有没有敏感接口。例如未对外开放的注册、找回密码、登陆的逻辑判断等,有时候在页面看不到的功能可能在js中...