安全文章

利用JS文件挖洞

  前言 一次渗透测试中,白帽小哥发现了 2 处 CSRF 漏洞,但不幸的是 CSRF 不在赏金范围内。 于是小哥开始尝试搜索JS文件,白帽小哥通常的做法是利用Chrome的开发者工具搜索特...
阅读全文
代码审计

JAVA代审之shishuocms

前言 这套系统是我无意中发现的,是个很老的系统了,但是gitte上有2.8k Star然后也没披露过漏洞,就下载下来审着玩下,顺便水几个cve 本篇文章首发在先知社区,作者C@ig0 (本人)  先知...
阅读全文
安全博客

两则JSON CSRF实例

最近面试被问到JSON CSRF,还刚好挖过他们家SRC两个实际案例,当时挖洞的时候也特地去查过JSON CSRF的资料,可面试的时候怎么也没想起来,遂翻出以前SRC的报告记录一下再整理下JSON C...
阅读全文
安全文章

浅谈前端安全

安全问题的分类按照所发生的区域分类后端安全问题:所有发生在后端服务器、应用、服务当中的安全问题前端安全问题:所有发生在浏览器、单页面应用、Web页面当中的安全问题按照团队中哪个角色最适合来修复安全问题...
阅读全文