确认目标个人还是习惯挖web的洞,进来小程序后点了点功能点,随便测了测,无果,果断转向web,看能否有什么新的发现访问后发现是一处登录页面,作为合格的脚本小子,管他什么先扫一波JSFinder发现了8...
01月07日15 views评论role
rolecode
实战 - 从小程序对战到WEB端后台
01月07日15 views评论role
rolecode
01月07日15 views评论role
rolecode
bilibili CTF 前五题
web1 很明显是改ua 看源码 给出了两个地址 先第一个试试 web2 做法同上只不过url变了 正确的url为 web3 不是注入 不是注入 不是注入 账号 admin 密码 bilibili 这...
01月01日13 views评论url
源码
K8s API访问控制
bilibili CTF 前五题
web1 很明显是改ua 看源码 给出了两个地址 先第一个试试 web2 做法同上只不过url变了 正确的url为 web3 不是注入 不是注入 不是注入 账号 admin 密码 bilibili 这...
12月03日19 views评论url
源码
AWS云安全基础命令查询
00:前言本次靶场链接为: https://attackdefense.com/challengedetails?cid=2245 ,这是一个比较基础的AWS云安全靶场,主要是练习常见的查询为主。01...
11月27日41 views评论aws
云安全
记一次从供应链的未授权访问到重大成果
在某行动期间,参加了同时举行的省级行动。由于两场行动有交集,因此常规的靶标攻克难度很大。故而在靶标中选择了一个非集团的单位进行测试。尝试过在各搜索引擎收集该目标的资产,但由于目标疑似并无互联网资产,导...
11月26日27 views评论弱口令
网络安全
您需要知道的IAM 角色信任更新
本文为翻译文章,原文链接:https://ermetic.com/blog/aws/iam-role-trust-update-what-you-need-to-know/ICYMI,2022 年...
10月29日22 views评论aws
role
接口未授权之js永远滴神
思路梳理通过前期的信息收集,收集到了这个系统本来想先爆破管理员账号密码的,可是点击登录后不返回任何有效信息(如 “账号不存在”)看来,爆破这条路是走不通了,功能点也少的可怜,只有登录,想测一些逻辑问题...
07月28日292 views评论go
js
2022-07微软漏洞通告
点击蓝字 关注我们微软官方发布了2022年07月的安全更新。本月更新公布了86个漏洞,包含52个特权提升漏洞、12个远程执行代码漏洞、11个信息泄露漏洞、5个拒绝服务漏洞、4个安全功能绕过漏洞以及2个...
07月13日13 views评论cve
攻击者
2022-05微软漏洞通告
点击蓝字 关注我们微软官方发布了2022年05月的安全更新。本月更新公布了75个漏洞,包含26个远程执行代码漏洞、21个特权提升漏洞、17个信息泄露漏洞、6个拒绝服务漏洞、4个功能绕过以及1个身份假冒...
05月12日49 views评论windows
漏洞
AWS云安全系列10 - IAM CloudFormation
国内云安全培训请点击原文或访问以下链接https://www.yuque.com/u8047536/supvqp/ri4ft0前提是已经获取了相关的密钥步骤 1:将 AWS CLI配置为访问凭证步骤 ...
04月28日64 views评论name
user
AWS云安全系列 7 - IAM危险策略组合 II
国内云安全培训请点击原文或访问以下链接https://www.yuque.com/u8047536/supvqp/ri4ft0前提是已经获取了相关的密钥步骤 1:将 AWS CLI配置为访问凭证aws...
04月25日33 views评论name
user
3