文章源自于个人博客: http://vfree.ltd/ 2021/12/09,阿里云安全团队向apache报告了由log4j日志引起的远程代码执行,12月10日,当天白帽跟提前过大年似的,疯狂刷sr...
[漏洞复现]log4j漏洞RCE(CVE-2021-44228)
文章源自于个人博客: http://vfree.ltd/ 2021/12/09,阿里云安全团队向apache报告了由log4j日志引起的远程代码执行,12月10日,当天白帽跟提前过大年似的,疯狂刷sr...
挖洞经验之一个绕过某SRC厂商三处XSS过滤的payload
0x01 前言在某次src的漏洞挖掘过程中,发现了一个payload绕过了三处xss过滤,个人觉得还是挺有意思的,所以记录一下。0x02 从一个被忽略的self xss说起在某页面...
xray1.9.3高级版破解___windows_关于昨晚的星球
01 前言 只有win版,暂无linux 02 下载地址 https://www.123pan.com/s/Zg9rVv-psWQ 解压密码:mht 如遇资源失效请通过下方菜单栏联系我 03 关于星球...
实战|记一次src逻辑漏洞挖掘
src漏洞挖掘漏洞已通知厂商修复本人web小白 文章技术含量不会很高注册了两个账号测试业务发现了支付页面,可以测试能不能修改,其中我发现了几个参数我猜第二个参数是用户id 那我就可以修改用户id达到修...
XSS 常用标签及绕过姿势总结
扫码领资料获黑客教程免费&进群一、xss 常见标签语句0x01. <a> 标签<a href="javascript:alert(1)">test</a>&...
SRC挖掘思路(十二)
文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!感谢火柴人安全团队成员zhouclay师傅的...
实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘
大家好,在本文中,我将分享我在2个TikTok资产发现的XSS漏洞。当我决定在TikTok 程序中寻找漏洞 时,我花了1个月的时间寻找这个XSS。当我在TikTok 卖家账户( https://sel...
我的CSP绕过思路及总结
导语本文作者为三叶草核心成员evoA,此篇文章较为系统的总结的CSP绕过思路和方法。本文首发于先知:https://xz.aliyun.com/t/50841.CSP简介内容安全策略(CSP)是一种w...
资产收集系列(四):搜狐SRC和付费通SRC资产大全
1前言补天漏洞响应平台的企业SRC和专属SRC奖励丰厚,一个漏洞能赚到几百上千元。但是很多人对他们的资产不清楚,所以我准备整理一系列文章来罗列属于他们的资产。同时我会将他们SRC的地址放在文章中,并附...
资产收集系列(五):嘀嗒出行SRC和信也科技SRC资产大全
1前言补天漏洞响应平台的企业SRC和专属SRC奖励丰厚,一个漏洞能赚到几百上千元。但是很多人对他们的资产不清楚,所以我准备整理一系列文章来罗列属于他们的资产。同时我会将他们SRC的地址放在文章中,并附...
实战|一次绕过waf进行xss的经历
今天室友遇到一个好玩的网站,下面是一些尝试绕过Waf进行XSS的记录。首先该网站没有对左右尖号和单双引号做任何过滤或转义。且有未知的waf或者其他阻止恶意访问的手段。首先我的访问为 login.asp...
26