2024年11月28日,DataCon2024大数据安全分析竞赛落下帷幕。比赛共吸引706支战队、1556人报名参与。在历经多日的激烈角逐后,最终诞生了五大赛道的冠军、亚军和季军。来自武汉大学的“08...
跨域CORS漏洞
原文作者:兰陵猪猪哼(小黑子安全)原文连接:https://mp.weixin.qq.com/s?__biz=Mzg5NDg4MzYzNQ==&mid=2247486385&idx=1...
多客圈子论坛系统存在后台upload.html文件上传漏洞
1 漏洞描述多客圈子论坛系统存在后台upload.html文件上传漏洞 2漏洞复现首页 后台地址:/admin,登录到后台后点击圈子管理-圈子列表 上传文件处,只做了前端校验,修改文件后缀即可上传 链...
漏洞挖掘 | 另类未授权之精准丢包
前言去年的洞,不小心翻到了,今天又看了一下,发现这个思路还可以,所以给大家分享一下。从ACL拿下一个url随便测测,发现它是先进入后台再跳转到首页,于是我用burp抓包不放让它卡在后台页面不过并没有啥...
爬虫解析html之消失的她
大家好,我是十一姐,一个分享爬虫相关知识点的程序猿提示!本文章仅供学习交流,严禁用于非法用途,文章如有不当可联系本人删除!目录: 一、为何出现”消失的她”?(代码在文章末尾) ...
Python脚本:浏览器书签的自动整理与去重
我常用的有四个浏览器,分别是 Edge、Firefox、Chrome 和 Brave,为的就是分开对应工作生活中的不同场景,例如工作用 Chrome,摸鱼用 Firefox,Brave当隐私浏览器等。...
Web前端密码被加密JS逆向爆破密码技巧-渗透测试
0x01 前言 在挖洞授权渗透测试过程中经常会遇到JS加密的问题,我们可以通过调试获取加密函数在写脚本生成密码来爆破,原创作者:1nk123师傅。末尾可领取字典等资源文件0x02 前台登录...
CVE-2023-25365 / Bypass通过文件上传XSS
October CMS是一个基于Laravel PHP框架的自托管获奖平台。最初,我们试图上传,但这是不可能的,该应用程序有一个过滤器和分析源代码的源代码,我们意识到,它只允许以下扩展上传:根据下面的...
记一次src挖掘过程中遇到的前端js加密爆破
开局一个登录界面,由于测试其他系统的时候感觉这个系统的口令强度整体做的比较弱(其他系统也有存在弱口令的情况),就想着对这个登录进行爆破 首先要测测这里的验证码验证机制是真还是假的,测试发现对于同一个验...
CHM电子书上线CS——钓鱼
一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号望雪阁及作者...
【Web渗透】JSONP劫持
介绍jsonp是一种协议,准确的说,他是json的一种使用模式,为了解决Json受同源策略限制的问题。基本语法JSONP的基本语法为:callback({“name”:”test”, “msg”:”s...
从暗链到文件上传漏洞,一次一波三折的应急
一、起因 昨天收到上级通报,官方网站有暗链,通报截图如下:HTML里确实有暗链,定性中危。第一反应是某位员工又直接复制粘贴的某个网页,连暗链一起贴了过来,或者误引用某个互联网上的网页,而那个站点因为某...