前言 几个月前,国外白帽小哥在浏览器上禁用了 javascript,同时测试在现代网络中是否有任何 Google 服务在没有 JS 的情况下仍能正常运行。有趣的是,用户名恢复表单仍然有效...
暴力破解任意 Google 用户的电话号码
几个月前,我禁用了浏览器上的 JavaScript,测试了一下在现代网络环境下,是否还有 Google 服务可以在没有 JavaScript 的情况下运行。有趣的是,用户名恢复表单竟然还能用!这让我很...
全球互联网因BGP协议漏洞出现大规模路由震荡
关键词BGP协议2025年5月20日UTC时间7时,一条异常的BGP路由通告在互联网骨干网中传播,触发多个主流BGP实现方案的意外行为,导致全球范围内持续数十分钟的路由不稳定事件。该事件的起因是某些自...
绕过 Cloudflare:使用 SQL 盲注枚举用户邮箱的技巧分享
在与朋友测试某网站时,我们发现了一个 API 端点:https://api.test.com/users/public?page=1&search=bug_vs_me在前端,我们可以选择搜索用...
如果有严格的 WAF,如何升级 SQL 注入?
因此,当我和朋友一起测试网站时,我们发现了一个如下的 API 端点: ` https://api.test.com/users/public?page=1&search=bug_vs_me` ...
严苛WAF环境下如何实现SQL注入?
前言 国外白帽小哥和好友在对某个目标网站进行渗透测试时发现了一处API端点: https://api.test.com/users/public?page=1&search=bu...
verdaccio私有npm仓库服务
点击上方蓝字,关注我们~01Verdaccio是什么?Verdaccio 是一款轻量级私有 npm 代理服务器解决方案,支持在本地或私有网络环境中实现 npm 包的托管、缓存及权限管理。该工具能有效提...
BUUCTF[DDCTF 2019]homebrew event loop解题步骤详解
查看源代码 1 from flask import Flask, session, request, Response 2 import urllib 3 4 app = Flask(__name__...
如何把DeepSeek接入个人微信
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底天上月及文章作者不为此承担任何责任。工具描述 基于...
Ollama 远程代码执行漏洞 CVE-2024-37032
近日,安全研究人员在Ollama中发现了一个严重的远程代码执行(RCE)漏洞,编号为CVE-2024-37032。这个漏洞被命名为“Probllama”,因为它与Ollama的某些核心功能密切相关。本...
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
本篇文章共 2000字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 好久没有写渗透测试的文章了,因为这段时间工作和其它原因一直没时间,今天就简单水一下某次SRC的思路吧,从信息收集到接...
如何使用mitmproxy2swagger对REST API进行逆向工程分析
关于mitmproxy2swagger mitmproxy2swagger是一款功能强大的逆向工程分析工具,该工具能够以自动化的形式将捕捉到的mitmproxy数据转换为符合OpenAPI 3.0...