本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。声明:本文搬运自国外互联网,如你是原作者,请联系我们!标签:登录绕过大家好,时隔许久,我又回来写一篇有趣的文章了。由于一些问题,今年我没有...
Bombon 方法论:我将如何测试Web缓存漏洞
什么是Web缓存漏洞Web缓存漏洞是指由于缓存机制配置或实现不当,导致攻击者可通过操纵缓存内容获取敏感信息、篡改数据或破坏服务安全性的安全风险。常见攻击包括缓存投毒(注入恶意响应误导用户)、缓存欺骗(...
价值1.4 W人民币漏洞!
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过正文这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。我当时在测试一个电子商务网站。该网站有两个资产在测试范围内:target...
reateam-打点(tomcat弱口令+getshell)
Tomcat控制台(目前遇到的概率相对低一点) 默认账号:admin、tomcat 默认密码:admin、tomcat 后台可通过上传war包写webshell 爆破方式讲解 先使用Bu...
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过正文这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。我当时在测试一个电子商务网站。该网站有两个资产在测试范围内:target...
由于缓存配置错误而绕过授权
这篇文章是关于我最喜欢的发现之一,因为这是一个非常出乎意料的问题。 我正在测试一个电子商务网站。 它有 2 个资产。 和target.comadmin.target.com target.com是面向...
【Tools】自动解密被加密的报文工具 - Galaxy
前言介绍:在网络安全领域,加密报文的分析一直是一个挑战。Galaxy插件的出现,为安全专家提供了一个强大的工具,使得他们能够直接在Repeater工具中处理解密后的请求,同时响应也被自动解密,从而像处...
SRC挖掘葵花宝典
免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
一个值钱的漏洞报告 之 由于缓存配置错误导致的鉴权绕过
新思路解锁🔓这篇漏洞报告是我最喜欢的漏洞发现之一,因为这是一个非常出乎意料的问题导致的鉴权绕过。当时我正在测试一个电商网站。它有 2 个资产 (网站均使用化名) target.com、admin.ta...
Burp对条件竞争漏洞的支持
前言 Burp在202309开始提供了条件竞争问题测试的支持,相比之前经常通过Intruder的多线程测试更为方便和高效,大大提高了相关问题测试的成功率。 介绍 在以往的Intruder测试条件竞争中...
fastjson漏洞burp插件
fastjson漏洞burp插件检测fastjson<1.2.68基于dnslog,fastjson<=1.2.24和1.2.33<=fatjson<=1.2.47的不出网检测...
Burp Suite Sharpener 全新的UI设计多功能标签页备注(觉得有必要试一试)
此扩展通过添加多个 UI 和功能特性来增强 Burp Suite,使其更加用户友好。 特征 通过选择主题使主要工具的选项卡更加明显 能够控制 Repeater 和 Intruder 中子选项卡的样式 ...