声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
04月26日51 views评论密码
账号
常见的登录逻辑漏洞总结
04月26日51 views评论密码
账号
04月26日51 views评论密码
账号
渗透测试之突破口 | 常见打点及漏洞利用
目录web服务突破 一些存在问题的逻辑 JWT攻击手法 注入 XSS CSRF php任意文件读取/下载 php文件包含 XML 命令注入 Xpath注入 SSRF 命令执行 P...
03月17日42 views渗透测试之突破口 | 常见打点及漏洞利用已关闭评论xss
未授权访问
教育园src第二天之逻辑漏洞小技巧
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
02月21日51 views教育园src第二天之逻辑漏洞小技巧已关闭评论公众号
密码
edusrc漏洞挖掘|无中生有
作者:辛巴大佬前面几天的内容:edusrc漏洞挖掘第一天edusrc漏洞挖掘第二天edusrc漏洞挖掘第三天edusrc漏洞挖掘第四天今天已经是漏洞挖掘的第五天了,又是艰难寻找漏洞的一天,还是老规矩,...
02月13日85 views评论密码
漏洞
网络攻击者绕过MFA的方法及防御策略
长按二维码关注安全419最新动态 中国网络安全产业资讯媒体 2022年,身份安全已经处于网络安全对话的前沿,身份攻击已成为威胁行为者的主要网络渗透方法。这些攻击行为的复杂程度和规模...
02月09日82 views评论攻击者
用户
edusrc漏洞挖掘第五天|无中生有
作者:辛巴大佬 前面几天的内容: edusrc漏洞挖掘第一天 edusrc漏洞挖掘第二天 edusrc漏洞挖掘第三天 edusrc漏洞挖掘第四天 今天已经是漏洞挖掘的第五天了,又是艰难寻找漏洞的一天,...
02月06日64 views评论密码
漏洞
红队打点及漏洞利用
web服务突破一些存在问题的逻辑任意用户注册可爆破用户名爆破用户名,密码用户名注入万能密码用户名Xss修改返回包信息,登入他人账户修改cookie中的参数,如user,adminid等HTML源码、J...
02月03日49 views评论jwt
key
实战|针对学校公众号的一次渗透
0X01前言这学期开学交学费的时候,学校开了一个公众号让我们去缴费,随手测试已提交并修复,水文一篇记录一下0x02信息泄露一些支付的订单和数据库的信息xxxxxxxxx.com/wx/log/log....
12月08日114 views评论com
http
2022台州市赛线上AWD赛后小记
赛制比赛时间:4个小时,10分钟一轮,共24轮,无加固时间 计分规则:攻陷其他队伍服务器一次加10分,被其他队伍攻陷扣15分,check不通过扣100分,起始分5000分 赛题:一个Java、一个PH...
11月29日273 views评论java
php
实战 | 在国外SRC挖掘密码重置漏洞总结
文章来源:先知社区(爱吃猫的闲鱼)原文地址:https://xz.aliyun.com/t/9719前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发现公布的漏洞中存有不少的逻辑漏洞,毕...
07月04日86 views评论密码
漏洞
自己遇到的一些逻辑漏洞
account takeover系列-由重置密码所导致的账户劫持
正常的密码重置应用流对密码重置功能的利用原文地址: https://medium.com/kminthein/account-takeover-in-cups-mail-ru-bdab1483f92c...
05月12日28 views评论https
密码
6