SRC挖掘 | CN-SEC 中文网

安全文章

记录一个src挖掘的骚思路

前要现在入行src的人太多了，很多思路已经陷入闭环不是那么好挖，我在很久以前在国外众测挖掘的时候，经常见到不要的漏洞里面有一个SPF，我就比较好奇，然后深入了解后，发现确实也有一些危害，而且国...

06月07日23 views评论

阅读全文

安全文章

浅谈src挖掘中——文件上传和XSS漏洞的组合拳

0x1 前言哈喽，师傅们好！这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容，然后先是给小白师傅们简单介绍下XSS漏洞和文件上传漏洞。然后后面给师傅们简单演示...

05月24日36 views评论

阅读全文

安全文章

Src高危实战记录

前段时间朋友发了一个测试平台，本着试试就试试的原则，开始了本次测试。实战经过因为保密原因,会打上厚厚的码,大家见谅,通过OneForAll收集一下,前端没啥漏洞,可能是我太菜了,直接在后端进行测试弱...

04月02日29 views评论

阅读全文

安全文章

峰回路转的渗透测试

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。前段时间收到老板的一个授权测试需求，是小程序的，也是有好久一段时间没有开荤啦，赶紧开弄。打开看了一下，功能...

03月31日18 views评论

阅读全文

安全文章

签约漏洞的意外之喜

在一次日常漏洞挖掘中发现某系统存在一个连续包月的签约服务，那二话不多说直接上一个签约漏洞的测试流程框框扫完两次支付宝和微信美美的去看一下结果发现只有一个发货其他都不发货，等了一下还退款了 GG感觉...

01月28日23 views评论

阅读全文

安全文章

SRC挖掘 | 某访客系统越权测试

越权实战接待人要填对姓名和手机号码才可以注册需要通过信息收集对应的姓名和手机号码，利用test和test1两个账户进行申请点击正在预约抓包删除openid可以看到所有正在预约...

01月15日18 views评论

阅读全文

安全文章

src挖掘 | 记一次对某厂商的src漏洞挖掘

身为一个小菜鸡，当然是想去src厂商那里挖掘漏洞，获取赏金，从而得到技术和经济的小部分提升，于是乎我就去开始了我的漏洞挖掘。一、信息收集首先是查对方公司的域名、公众号、APP等等这些，接着就是用o...

12月10日25 views评论

阅读全文

安全文章

SRC学习路

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖...

12月09日5 views评论

阅读全文

安全文章

SRC挖掘｜某SRC挖掘思路从信息泄露到越权

0x00前言大家熟知的越权都是该参数进行遍历，而忽略渗透过程中获得的信息进行利用，也可以造成越权。这也是满常见的，建议在渗透过程中多观察Response以及Request需要的标识符。漏洞成因：泄露大...

11月15日42 views评论

阅读全文

安全工具

hackerone 漏洞报告合集

根据HackerOne报告，可以从中获得许多益处。首先，这些报告提供了关于各种漏洞的详细案例分析，帮助了解攻击者的思维和手段。通过研究这些案例，可以掌握最新的攻击趋势和防护措施，从而提升自身的技能和知...

11月15日363 views评论

阅读全文

安全文章

src挖掘之捡ikun系列（一）

短文件名漏洞漏洞成（ji）因：实质上就是文件枚举漏洞，该漏洞成因是HTTP请求中DOS8.3名称约定（SFN）的代字符（~）引起，我们可以构造短文件名字典向服务器发起请求，根据不同的回显来判断该短文件...

11月11日8 views评论

阅读全文

安全文章

src挖掘之捡ikun系列（二）

目录扫描目录扫描是我们漏洞挖掘中常用的一种方法，我们一般都是采用扫描工具直接进行扫描，由于大部分扫描工具都会内置字典，像dirsearch，dirb等，其内置的字典虽然能够应付大多数情况，...

11月10日11 views评论

阅读全文