0x00 概述 在研究其他漏洞赏金计划时,在 cmp3p.js 文件中发现了跨站点脚本漏洞,该漏洞允许攻击者在包含上述脚本的域上下文中执...
搜索从匆匆的一瞥,到两小时泯灭(SQL注入)
惊鸿一瞥 昨天晚上分别开了我相识已久的女友,再度回到了单身狗身份,在这个双休的早上,电脑上看完了昨天还未看完的《银河护卫队1》,百无聊赖的打开了某一个网站,想找找是否有啥好玩的东西,这一看,2个小时就...
教育园SRC系列之对Js接口的继续探讨
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,...
记一次SRC从信息泄露到任意文件下载
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 宝子们现在只对常读和星标的公众号才展示大...
r0chrome - 一款对chromium源码进行定制的浏览器
r0chrome是一款对chromium源码进行定制的浏览器,支持爬虫/JS逆向工程师进行辅助分析网页 浏览器随机指纹模块 实现功能 gpu信息随机 webgl图像指纹随机 canvas画布指纹随机 ...
Android本地搜索优化
引言在本文中,我们将通过 Android 本地搜索业务介绍如何使用 JavaScriptCore(以下简称 JSC)和Java Native Interface(以下简称 JNI)相关技术来实现搜索效...
由403所发现的SSRF高危漏洞
前言在某次金融类众测项目中,笔者发现了一个几乎无从下手的系统,直接访问系统无任何功能,几乎相当于404 Not Found,甚至连JavaScript文件一个都不存在,最终通过渗透经验和一定的运气,拿...
JavaScript静态分析
讲故事某人邮件收到,预订酒店50%折扣活动。预订过程中出现了问题,信用卡已过期,某人试图联系银行。银行回应的是需要15个工作日。某人开打浏览器中的开发人员工具在网站上进行长时间的探索。发现了以下内容:...
G.O.S.S.I.P 阅读推荐 2023-05-12
一转眼,汶川大地震过去15年了,你可还记得对当年很多“豆腐渣”校舍的问责?我们今天要关注的是互联网世界上的JavaScript代码,从2023年WWW会议上选择一篇论文 The More T...
实战 | 记一次5000美金赏金漏洞挖掘经历
由于依赖性混乱导致的RCE关于我提交给 HackerOne 上的一个私人程序的错误赏金报告。你猜怎么了?我得到了 5,000 美元的奖励,他们只用了 30 分钟就搞定了!我不会深入探讨依赖性混淆的本质...
简易的JS逆向解码
学网安渗透扫码加我吧免费&进群 ...
通过JS审计挖掘通用型CNVD证书的过程
0x00 本文涉及到的知识点 首先通过FOFA搜索引擎查找视频监控相关的系统,然后利用弱口令、目录扫描、JS审计进行漏洞挖掘出某个视频监控系统存在未授权访问漏洞,通过搜寻到的版权信息联合企...