关于APIDetectorAPIDetector是一款针对Swagger的强大安全扫描工具,该工具可以帮助广大研究人员高效扫描和识别目标Web域名及子域名中暴露的Swagger节点。该工具是一款智能化...
burp超酷插件:OneScan
OneScan OneScan是递归目录扫描的BurpSuite插件。 插件介绍 OneScan插件的思路由One哥提供,我负责将One哥的思路进行编码变现。插件起初是为了发现站点的 Swagger-...
Swagger UI渗透实战
如何发现Swagger UI正常情况下,当访问一个网页出现以下错误,可根据报错回显看出这是典型Spring的接口报错信息另外Spring站点的默认logo是片小绿叶,可以观察下报错页的logo有没有小...
一款常用的API漏洞扫描工具|渗透|简单实用
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才...
深入浅出API测试|搜集分析与漏洞挖掘实战
深入浅出API测试 标题展示 所有动态网站都由 API 组成,因此 SQL 注入等经典 Web 漏洞可以归类为 API 测试。因此测试之前要尽可能的去测试功能点,观察代理流量,发现API目录收集信息,...
Apache Kafka Clients JNDI (CVE-2023-25194) & Druid RCE 分析
Apache Kafka Clients JNDI (CVE-2023-25194) 分析以及在 Apache Druid 环境下的利用 Apache Kafka Clients JNDI (CVE-...
[AOH 028] 1小时->极速挖掘特斯拉Roadster开源项目漏洞
一、前言下午看到新闻,特斯拉现已“完全开源”其初代 Roadster 跑车的设计和工程,并发布了所有人都可以访问的研发文件。发布了一个新的访问路径,接下来快速测试可能存在的安全问题。二、梳理端点访问路...
通过监控js获得18000奖金
点击上方蓝字关注我们1起因翻看文章时看到bebiks师傅公开了一份漏洞报告,危害和奖金都挺高的。就想看看怎么玩,之前没搞过js监控这里就了解一下,顺便找...
对API文档泄漏测试脚本的一点点修改
原版https://github.com/lijiejie/swagger-exp修改swagger-exp增加openapi 3.0处理现在在swagger-ui的3.0匹配没更新上直接跑脚本会报错...
【逃离计划】Swagger API 信息泄露漏洞
Swagger未授权访问Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,...
应急响应之文件上传漏洞排查
前言在进行年度总结的时候,发现七一重保的时候还进行过一次应急响应,是一起关于非法上传事件的应急响应,在这里进行一下分析总结。处置1、查看基本情况在态势感知上可以看到,文件上传的详细情况,并且已经被攻击...
Vulnerability Wiki & CTF 练习平台搭建-1
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
7