swagger - 第 3 | CN-SEC 中文网

安全文章

漏洞挖掘 | Swagger UI 目录枚举小总结

通过 Swagger UI 目录枚举挖掘漏洞前言 Swagger UI 被广泛用于可视化和交互式操作 API，但开发人员经常错误配置它，或无意间暴露了敏感的端点。通过掌握 Swagge...

12月19日15 views评论

阅读全文

安全文章

网安牛马碰见WAF如何凑出渗透报告漏洞数量？

当初熊猫为了脱离“菜鸡”称号可谓是煞费苦心，在测试有WAF防护的网站时，也会想办法凑出一堆中低危漏洞来充实报告内容，以证实工作量，便于划水...... 那都有哪些漏洞可以用来凑数量呢？ WARN &n...

12月09日6 views评论

阅读全文

安全文章

swagger接口漏洞测试

点击蓝字关注我们声明本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全等违法行为后果自负，与本号及作者无关。大家好我是小迪徒弟，已经学习7个月了，在学习过程中在小迪老师这里学习...

12月06日20 views评论

阅读全文

安全文章

edusrc 某中学Swagger接口泄露未授权漏洞挖掘

一、对目标资产进行信息收集打开目标网站发现只有一个智慧校园扫码登入、不能直接从登入界面下手，换个思路，先对其指纹和目录扫描均未发现任何有用的信息。查看API接口，发现该目标存在其他资产二、对Sping...

12月03日59 views评论

阅读全文

安全文章

针对Swagger接口泄露未授权访问的各种姿势

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。 0x1 前言这篇文章的话主要是给师傅们分享下Swagger接口泄露包括...

11月27日196 views评论

阅读全文

安全工具

【渗透工具】Swagger API 信息泄露漏洞工具篇

Swagger API 信息泄露漏洞工具篇免责申明简介默认路径 Swagger-hack工具整改建议下载链接关注公众号免责申明本公众号的技术文章仅供参考，此文所提供的信息只为网络安全...

11月20日72 views评论

阅读全文

安全文章

记录一次某高校漏洞挖掘

记录一次某高校漏洞挖掘最近在空闲时间想着挖一个证书玩玩,于是在edusrc礼品中心选择了某高校确定站点鹰图语法 icp.name="某高校" && (body="注册" &...

11月13日10 views评论

阅读全文

安全新闻

黑客如何入侵 7 亿EA游戏玩家账户

图片1:横幅图片这个故事始于我对EA的一个开发环境"integration"进行测试时的发现。我之前在研究EA Desktop时偶然发现了这个环境。图片2:带有'integration'标识的EA D...

11月06日31 views评论

阅读全文

安全文章

swagger未授权进阶

前言Swagger是一个spring二开的 RESTful风格的 Web 服务的开源软件框架，它有一个交互式文档页面，可直接在网页进行发送接口请求测试。当无需输入密码查看文档时，即存在swagger未...

11月05日33 views评论

阅读全文

安全文章

实战：对某上市企业的渗透测试

声明：本次渗透测试有合法授权，相关数据已脱敏处理一、信息收集1.得到目标为某集团，用天眼查获取集团官网信息，然后securitytrails进行子域名收集。2.收集到的域名去GitHub上去搜相关字段...

10月18日14 views评论

阅读全文

安全文章

攻防案例分享-从接口到靶标

公众号好久没更新了，最近参加了些攻防演练，找点有价值的案例，给朋友们分享一下。接下来的案例内容看标题也能猜到和接口相关。近期打的一些攻防相对前两年越来越难打，企业越来越重视网络安全、数据安全，攻防演练...

10月16日23 views评论

阅读全文

安全文章

API攻防 | 如何为测试目标制作定制 API 文档

扫码领资料获网安教程来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）当目标没有记录其API 的API文档时，测试时可能很难进行。因此对于安全研究人员和 ...

09月23日16 views评论

阅读全文

漏洞挖掘 | Swagger UI 目录枚举小总结

网安牛马碰见WAF如何凑出渗透报告漏洞数量？

swagger接口漏洞测试

edusrc 某中学Swagger接口泄露未授权漏洞挖掘

针对Swagger接口泄露未授权访问的各种姿势

【渗透工具】Swagger API 信息泄露漏洞工具篇

记录一次某高校漏洞挖掘

黑客如何入侵 7 亿EA游戏玩家账户

swagger未授权进阶

实战：对某上市企业的渗透测试

攻防案例分享-从接口到靶标

API攻防 | 如何为测试目标制作定制 API 文档

在线咨询

微信