本文由掌控安全学院 - 葵先生 投稿 找到一个学校的就业信息网, 随便点击一个招聘会,并且抓包查看返回包 注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电...
微信PC端@全体成员逻辑漏洞
今天无意中发现微信PC端存在逻辑错误,利益该逻辑错误漏洞可以在没有管理权限的微信群中@全体成员。建议自己创建两个微信群进行测试,以免被人骂。注意需要把PC端微...
小程序逻辑漏洞
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
某小程序逻辑漏洞
免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们...
我与逻辑漏洞的爱恨情仇
前言:逻辑漏洞自始至终一直是一个永恒的话题,逻辑漏洞是一种设计缺陷,通常表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误,也是目前大环境下比例比较高的漏洞,在以前挖逻辑也是id换着测...
发现漏洞,一次Web渗透的实战过程——探索网络安全薄弱环节的方法与思考
本文来自:天权信安网络安全生态圈 作者:天剑安全卫士实验室 由于传播、利用本公众号天权信安所提供的信息而带来的所有直接或间接后果和损...
记一次企业src的逻辑漏洞(任意密码重置)
前言:本文中涉及到的相关漏洞已报送厂商并得到修复,只提供思路,严禁用于非法用途,否则产生的一切后果自行承担。记录一次,挖企业src的过程中,出现的任意密码重置,漏洞可能比较简单,但是,为什么就是轮不到...
实战 | 记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)
扫码领资料获网安教程免费&进群本文由掌控安全学院 - kgg 投稿八月初参加某市演练时遇到一个典型的逻辑漏洞,可以绕过验证码并且重置任意用户的密码。首先访问页面,...
逻辑漏洞的挖掘与防范(二)
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把LHACK安全“设为星标”,否则可能就看不到了啦! 0x01支付漏洞简介 支付漏洞是 高风险漏洞 也属于 逻辑漏洞 ,通常是通过 篡改...
记一次SRC漏洞挖掘中的逻辑漏洞
前言一次src的逻辑漏洞挖掘,修改返回包进入后台,虽然未显示数据,通过拼接js路劲也无法达到危害最大化,但是这个洞吃几顿猪脚饭,还是可以的一、漏洞挖掘开始开局一个登录框没有注册功能,尝试修改登录包,看...
QQ客户端远程代码执行漏洞情报速报
2023 年8月 20 日,赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客...
干货 | 逻辑漏洞拿下目标站点
前言 开局某平台登录框 可做尝试手法 1、弱口令 2、万能密码 3、复杂密码逻辑绕过 4、登录框逻辑绕过 5、登录框注入 正文 某通用平台,系xxx科技公司开发全套模板通用系统,演示站踩点弱口令,这里...
15