graphql - 第 4 | CN-SEC 中文网

安全文章

如何让SSRF漏洞起死回生

1. 发现敏感接口首先，我从 Hackerone 收集了一些项目信息。我进行了常规的一些测试，例如 Web bug 和 IDOR，但我完全没有发现任何机会。过滤器和身份验证机制非常强大，使用 uuid...

01月24日22 views评论

阅读全文

安全文章

如何在H1项目中发现SSRF

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。文章首发于个人博客：https://myb...

01月21日15 views评论

阅读全文

安全文章

GraphQL攻击

“可長歌，可醉飲，惟不可離去。” 分享一个文档，关于GraphQL攻击的方法，如下。 https://www.leavesongs.com/content/files/slides/%E6%94%BB...

12月22日42 views评论

阅读全文

安全工具

2023年BurpSuite更新历程

2023一整年BurpSuite都更新了什么？ 2023.5之前除了引入了montoya的外，其他基本都属于优化，不统计了。历史版本地址：https://portswigger.net/burp/r...

12月22日181 views评论

阅读全文

安全工具

一次GraphQL的探索

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

11月28日17 views评论

阅读全文

漏洞挖掘姿势-通过未被净化的参数获取账户密码

前言声明：这里是由零信任安全实验室组建的一个知识平台，平台有批量验证的脚本、工具以及一些漏洞的POC，后续还会分享网络安全资源（漏洞挖掘文章工具资讯）以及SRC漏洞挖掘案例分享...

10月20日39 views评论

阅读全文

安全文章

GraphQL黑客：如何使用简单的探测获得$1000赏金

10月16日16 views评论

阅读全文

安全文章

换行绕过内省查询敏感参数越权删除用户

前言声明：这里是由零信任安全实验室组建的一个知识平台，平台有批量验证的脚本、工具以及一些漏洞的POC，后续还会分享网络安全资源（漏洞挖掘文章工具资讯）以及SRC漏洞挖掘案例分享等等，资源多多，干...

10月12日8 views评论

阅读全文

安全文章

CSRF+GraphQL的奇妙组合

Portswigger练兵场之GraphQL APICSRF+GraphQL修改邮箱Lab: Performing CSRF exploits over GraphQL实验前置必要知识点首先我们要清楚...

08月31日52 views评论

阅读全文

安全文章

GraphQL中api漏洞

正文通常graphql接口位于类似 www.example.com/graphql 的地方这里的接口如下所示:(其实这种情况在国外的网站经常会看到) 首先，检查一下目标是否启用了自省模式(可以参考...

08月28日62 views评论

阅读全文

如何让SSRF漏洞起死回生

如何在H1项目中发现SSRF

GraphQL攻击

2023年BurpSuite更新历程

最新BurpSuite2023.11.1.3专业版中英文版下载Windows/Linux

一次GraphQL的探索

最新BurpSuite2023.11.1.1专业版中英文版下载Windows/Linux

漏洞挖掘姿势-通过未被净化的参数获取账户密码

GraphQL黑客：如何使用简单的探测获得$1000赏金

换行绕过内省查询敏感参数越权删除用户

CSRF+GraphQL的奇妙组合

GraphQL中api漏洞

在线咨询

微信