生成式人工智能(GenAI)和大型语言模型(LLM)是过去一年讨论的焦点。当 GPT 发布时,OpenAI 打开了LLM在技术生态系统中的使用大门。像Meta,Microsoft和Google这样的公...
600美元的简单MFA绕过 - Graphql
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
Graphql安全问题概述
文章前言GraphQL是一种用于构建API的查询语言和运行时环境,它提供了一种灵活且高效的方式来获取和修改数据,随着GraphQL的流行和广泛采用,我们也需要认识到与其相关的安全问题和挑战,本文将概述...
如何让SSRF漏洞起死回生
1. 发现敏感接口首先,我从 Hackerone 收集了一些项目信息。我进行了常规的一些测试,例如 Web bug 和 IDOR,但我完全没有发现任何机会。过滤器和身份验证机制非常强大,使用 uuid...
如何在H1项目中发现SSRF
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
GraphQL攻击
“可長歌,可醉飲,惟不可離去。” 分享一个文档,关于GraphQL攻击的方法,如下。 https://www.leavesongs.com/content/files/slides/%E6%94%BB...
2023年BurpSuite更新历程
2023一整年BurpSuite都更新了什么? 2023.5之前除了引入了montoya的外,其他基本都属于优化,不统计了。 历史版本地址:https://portswigger.net/burp/r...
最新BurpSuite2023.11.1.3专业版中英文版下载Windows/Linux
前言 Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows 01 更新介绍 此版本引入了用于手动测试GraphQL API、BCheck...
一次GraphQL的探索
免责声明:本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担...
最新BurpSuite2023.11.1.1专业版中英文版下载Windows/Linux
前言 Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows 01 更新介绍 更新说明此版本引入了用于手动测试GraphQL...
漏洞挖掘姿势-通过未被净化的参数获取账户密码
前言声明:这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享...
GraphQL黑客:如何使用简单的探测获得$1000赏金
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...