正文 在某简历平台制作了一份简历之后,点击下载,弹出了一个需要专业账户的信息(就是要你花钱冲会员啦) 仔细思考一下,“他们怎么区分谁是专业用户,谁不是?”还有,免费版简历上还会有他们的应用品牌。 使用...
最新Union注入攻击及代码分析技术
Union注入攻击 Union注入攻击的测试地址在本书第2章。 访问该网址时,页面返回的结果如图4-12所示。 图4-12 在URL后添加一个单引号,即可再次访问。如图4-13所示,页面返回的结果与i...
漏洞到手?保姆级教程来助你申请CVE编号
前言前段时间通过漏洞复现成功申请到了一个cve编号,借此机会顺便记录一下申请cve的流程给大家参考,主打的就是一个消除模糊漏洞编号申请首先访问CVE的官网地址https://cveform.mitre...
0基础入门代码审计-3 sql注入
0x01 漏洞描述 当应用程序将用户输入的内容,拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。攻击者通过控制部分SQL语句,可以查询数据库中任何需要的数据,利用数据库的一些特性,...
云麦智能秤app账户接管漏洞 | 干货
介绍最近,在一个内部物联网研究项目中,我们对云麦智能秤的安卓和iOS应用进行了渗透测试。以下是我们发现的 5 个漏洞,我们将其中的 3 个(#2、#3 和 #4)链接起来以实现大规模帐户接管。所有漏洞...
干货 | 逻辑漏洞拿下目标站点
前言 开局某平台登录框 可做尝试手法 1、弱口令 2、万能密码 3、复杂密码逻辑绕过 4、登录框逻辑绕过 5、登录框注入 正文 某通用平台,系xxx科技公司开发全套模板通用系统,演示站踩点弱口令,这里...
??DVWA的洞也能拿CVE编号??
免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 文章正文 今天看到一条CVE推送,本来觉得平平...
Hvv进行时|这些干货千万不容错过!
众所周知,FreeBuf知识大陆是各路大佬的集中地,他们分享的工具和经验,绝对是攻防必备,不管你现在身在Hvv,还是渴望参加,本期小编就为大家推荐几个优秀帮会和一些优秀的攻防演练文章,紧跟大佬不迷路!...
记一次逻辑漏洞拿下目标站点
本文由掌控安全学院 - liniyinan投稿 开局某平台登录框 可做尝试手法 1、弱口令 2、万能密码 3、复杂密码逻辑绕过 4、登录框逻辑绕过 5、登录框注入 正文 某通用平台,系xxx科技公司开...
windows中的苹果USB过滤驱动与iPhone-WPD工作原理
Windows 设备上的 Apple USB 下置过滤器如何帮助控制设备配置如果您曾经将 iPhone、iPad 或 iPod 连接到 Windows PC,您可能已经注意到该设备显示为不同类型的设备...
泛微OA changeUserInfo.jsp 漏洞的分析及复现
环境配置 l 系统:Winserver2019 l 数据库:MySQL5.7.26 l JDK:java 1.8.0_371 l 复现版本:ecology9_V10.57 源码分析 在全增量补丁包 W...
攻防演练 | 一次对某市级单位演习的总结学习
免责声明 本次测试均在有授权,且在现场符合要求的情况下进行测试,请大家切勿非法渗透。 传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦...