SRC挖掘 - 第 3 | CN-SEC 中文网

安全文章

Src挖掘-某众测前端解密学习记录

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文链接：https://forum.butian.net/share/2889某次大型金融公司众...

04月18日28 views评论

阅读全文

安全文章

SRC挖掘日常2

信息泄露该漏洞是通过 ARL 灯塔发现的，配置好策略和任务之后会在邮箱进行更新推送。获取到新域名之后，到文件泄露模块查看，发现/metrics，/debug/vars，/health 等页面：spri...

04月04日30 views评论

阅读全文

安全百科

小黑子在企业src挖掘时的意外之喜-第二集

前言看到上次出的“小黑子在企业src挖掘时的意外之喜”文章阅读量还不错，打算续更一集，也祝各位小黑子大黑客能天天收获意外之喜。运球话不多说，咋们直接拿起我们的篮球（fofa，hunter）开造。我...

03月04日16 views评论

阅读全文

安全文章

Src挖掘-实战中遇到的一些莫名其妙的漏洞

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文链接：https://xz.aliyun.com/t/13790前言真实案例，文中所写漏洞现已...

02月27日24 views评论

阅读全文

安全文章

SRC挖掘之AppSecret利用工具

免责声明由于传播、利用本公众号None安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号None安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请...

02月15日17 views评论

阅读全文

代码审计

仿蓝奏网盘代码审计

0x01 环境搭建首先用phpstudy_pro创建一个网站，再将目录导入，根目录设置public 其次设置静态，小皮上面配置就行 location / { if (!-e $requ...

01月14日67 views评论

阅读全文

安全文章

往年公开：实战src挖掘 XX漏洞挖掘(一、XX词条)

发现方式：XX创建词条，然后标题处存在xss漏洞漏洞链接 :https://baike.baidu.com/page/createindex?lemmaTitle=这里可以直接插入xss代码，或者链接...

12月31日38 views评论

阅读全文

安全文章

SRC挖掘 - IDOR万元赏金的打怪升级之路

挖洞技巧 004【漏洞场景】某个功能点可以删除有时效性的虚拟环境，然而替换ID可以删除其他用户已部署的环境，介于时效性限制，后来通过编写脚本可影响未来所有用户的环境部署和使用，成功升级危害00x0 前...

12月11日50 views评论

阅读全文

安全文章

小黑子在企业src挖掘时的意外之喜

但好在小黑子灵光一现，在小米的一个页面发现了端倪。由于官方现已修复，我就直接放图了。点击问题反馈，然后在burp里面查看我们看到响应包里面有个data参数，此时通过intruder重放可以发现...

12月09日34 views评论

阅读全文

安全文章

SRC挖掘之1500刀垂直越权导致信息泄露

挖洞技巧 003 【漏洞简述】得到某个功能点可以一次性查询员工的部分同事敏感信息，并利用技巧获得几乎全部敏感信息，提升危害使其最终变成高危 00x0 前言之前因为XSS在这个Bugcrowd厂商中很...

12月05日44 views评论

阅读全文

安全文章

企业级SRC挖掘-前端sessionStorage绕过

前言我们正在开展一项成长计划，一起完成制定的学习路线，一起分享学习成果，探索SRC挖掘和渗透测试领域（详情见文末）欢迎大家关注我们的微信公众号！！！漏洞复现拿到网站，是个登录口，首先尝试有无用户名枚举...

05月18日38 views评论

阅读全文

安全文章

企业级SRC挖掘-手机号 Fuzz 小技巧

前言我们正在开展一项成长计划，一起完成制定的学习路线，一起分享学习成果，探索SRC挖掘和渗透测试领域（详情见文末）欢迎大家关注我们的微信公众号！！！漏洞技巧遇到需要爆破手机号的，可以先确定这个业务系统...

05月16日120 views评论

阅读全文

在线咨询

微信