在现代 Web 开发中,Websocket 作为一种常见的 Web 协议,与 Restful API 有着本质的不同。Restful API是基于请求-响应模式的单向通信,而 WebSocket 提供...
xxl-job执行器RESTful API未授权访问RCE攻击利用工具
一、工具说明 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。 官方GitHub地址:https://github.com/xuxueli/x...
RESTful和JSON api的区别
介绍APIs (Application Programming Interfaces) 使软件系统和应用程序能够通信和共享数据。API测试很重要,因为API中的漏洞可能会破坏网站的机密性、完整性和可用...
API已成为企业内部数据泄露的罪魁祸首
关注兰花豆说网络安全,了解更多网络安全知识01引言大部分企业的数据泄露都来自于内鬼,而通过API窃取企业内部数据的比例越来越高。最近和一些甲方企业信息安全部门沟通,发现企业一些内部系统API相互调用并...
利用CouchDB未授权访问漏洞执行任意系统命令
作者: 阿里云安全 · 2016/05/19 9:06 0x00 前言 5月16日阿里云盾攻防对抗团队从外部渠道获知CouchDB数据库存在未授权访问漏洞(在配置不正确的情况下)。经过测试,云盾团队率...
快速安装json-server模拟RESTful API接口并用于Graylog LookupTable关联查询
快速安装json-server模拟RESTful API接口并用于Graylog LookupTable关联查询一、下载nodejs二进制包1、下载地址https://nodejs.org/en/do...
技术专题:API资产识别大揭秘(一)
xxhzz@PortalLab实验室在API安全威胁不断加剧、多样化,数字化系统面临着巨大的安全挑战背景下,企业必须积极构建API安全能力。而企业API安全防护的首要任务是API资产进行清晰了解和有效...
记一次最终被忽略的graphql漏洞挖掘经历
0x00 起因几个月在hackerone上挖掘某高赏金厂商,走了一遍业务点后,偶然发现http history里面有个graphql的接口于是一场坐牢之旅开始了0x01 前置知识与内省查询不了解gra...
GraphQL渗透测试详解
GraphQL介绍GraphQL概述GraphQL 是一种查询语言,用于 API 设计和数据交互。它是由 Facebook 发布的一款新型的数据查询和操作语言,自 2012 年起在内部使用,自 201...
从头完成一个 Restful API 服务
今天一起来通过 Flask 快速完成并部署一个 Restuful 服务,不要轻易走开哦01.框架概要先来看看大致的代码框架这里说明下,这套代码结构是参照经典flask书籍《Flask Web Deve...
【漏洞复现】Couchdb系列漏洞复现
前言CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Clu...
HTCF部分Writeup
杂项签到 首先我们拿到流量包,在这里按照包长度排序一下就能找到用来加密的python脚本以及加密后的flag。 接下来,我们将flag用base64解密,然后直接使用脚本的decrypt函数就可以恢复...