SRC挖掘 | CN-SEC 中文网

安全文章

Src高危实战记录

前段时间朋友发了一个测试平台，本着试试就试试的原则，开始了本次测试。实战经过因为保密原因,会打上厚厚的码,大家见谅,通过OneForAll收集一下,前端没啥漏洞,可能是我太菜了,直接在后端进行测试弱...

04月02日18 views评论

阅读全文

安全文章

峰回路转的渗透测试

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。前段时间收到老板的一个授权测试需求，是小程序的，也是有好久一段时间没有开荤啦，赶紧开弄。打开看了一下，功能...

03月31日13 views评论

阅读全文

安全文章

签约漏洞的意外之喜

在一次日常漏洞挖掘中发现某系统存在一个连续包月的签约服务，那二话不多说直接上一个签约漏洞的测试流程框框扫完两次支付宝和微信美美的去看一下结果发现只有一个发货其他都不发货，等了一下还退款了 GG感觉...

01月28日21 views评论

阅读全文

安全文章

SRC挖掘 | 某访客系统越权测试

越权实战接待人要填对姓名和手机号码才可以注册需要通过信息收集对应的姓名和手机号码，利用test和test1两个账户进行申请点击正在预约抓包删除openid可以看到所有正在预约...

01月15日14 views评论

阅读全文

安全文章

src挖掘 | 记一次对某厂商的src漏洞挖掘

身为一个小菜鸡，当然是想去src厂商那里挖掘漏洞，获取赏金，从而得到技术和经济的小部分提升，于是乎我就去开始了我的漏洞挖掘。一、信息收集首先是查对方公司的域名、公众号、APP等等这些，接着就是用o...

12月10日19 views评论

阅读全文

安全文章

SRC学习路

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖...

12月09日2 views评论

阅读全文

安全文章

SRC挖掘｜某SRC挖掘思路从信息泄露到越权

0x00前言大家熟知的越权都是该参数进行遍历，而忽略渗透过程中获得的信息进行利用，也可以造成越权。这也是满常见的，建议在渗透过程中多观察Response以及Request需要的标识符。漏洞成因：泄露大...

11月15日28 views评论

阅读全文

安全工具

hackerone 漏洞报告合集

根据HackerOne报告，可以从中获得许多益处。首先，这些报告提供了关于各种漏洞的详细案例分析，帮助了解攻击者的思维和手段。通过研究这些案例，可以掌握最新的攻击趋势和防护措施，从而提升自身的技能和知...

11月15日235 views评论

阅读全文

安全文章

src挖掘之捡ikun系列（一）

短文件名漏洞漏洞成（ji）因：实质上就是文件枚举漏洞，该漏洞成因是HTTP请求中DOS8.3名称约定（SFN）的代字符（~）引起，我们可以构造短文件名字典向服务器发起请求，根据不同的回显来判断该短文件...

11月11日5 views评论

阅读全文

安全文章

src挖掘之捡ikun系列（二）

目录扫描目录扫描是我们漏洞挖掘中常用的一种方法，我们一般都是采用扫描工具直接进行扫描，由于大部分扫描工具都会内置字典，像dirsearch，dirb等，其内置的字典虽然能够应付大多数情况，...

11月10日10 views评论

阅读全文

安全文章

SRC挖掘思路分享（思路分享篇）

凯撒Src篇章1前言今天带来一篇本人的思路分享：并发。一、进入正题今天给大家分享一个在实战中遇到的src挖掘思路，某天随手挑了一家企业大概的看了看，在一个站点中注意到了 “关注” 这个功能点，...

10月11日12 views评论

阅读全文

安全文章

定制化payload让漏洞挖掘更容易

点击上方「蓝字」，关注我们因为公众号现在只对常读和星标的公众号才能展示大图推送，建议大家进行星标。操作方法：点击右上角的【...】，然后点击【设为星标】即可。01免责声明免责声明：该公众号分享的安全工...

09月28日33 views评论

阅读全文

在线咨询

微信