swagger - 第 3 | CN-SEC 中文网

安全文章

JS文件中的敏感信息+swagger接口测试

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包...

08月18日18 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/8/15】

2024-08-15 微信公众号精选安全技术文章总览洞见网安 2024-08-150x1 Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)快速修复指南安泉茶馆 2024-...

08月16日18 views评论

阅读全文

安全文章

针对Swagger接口泄露未授权的初探

本文由掌控安全学院 - Tobisec 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 0x1 前言这篇文章呢主要是给师傅们分享下最近在学...

08月15日90 views评论

阅读全文

安全工具

快速查找JS文件中的敏感信息

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包，...

08月15日31 views评论

阅读全文

安全文章

Swagger接口安全测试评估

基本介绍 Swagger是一种用于描述、构建和使用RESTful API的开源框架，它提供了一套工具和规范，帮助开发者设计、文档化和测试API以及生成客户端代码和服务器存根，Swagger的核心组件是...

08月14日53 views评论

阅读全文

安全新闻

AJ-REPORT全新鉴权及远程命令修复绕过

TL;DR前几天在公众号看到AJ-Report未授权远程命令执行，这个洞还挺通杀的。今天看了下命令执行似乎已经修复了，但是这里的patch可以绕过。另外最关键的TokenFilter中的鉴权绕过漏洞没...

07月31日13 views评论

阅读全文

安全文章

记一次Swagger未授权接口SQL注入漏洞挖掘

漏洞描述 Swagger是一个规范和完整的框架，用于生成、描述、调用和可视化RESTful风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法，参数和模型紧密...

07月30日56 views评论

阅读全文

安全文章

针对API漏洞挖掘技巧学习

前言首先我们需要了解API基本的一些知识，我们首先来看几个GET方式的APIGET /api/books HTTP/1.1Host: example.com首先上面这种，是api的端点，也就是请求点，...

07月09日42 views评论

阅读全文

安全文章

API接口安全测试Tips

API接口安全在日常的测试中，我们会经常看到一些接口文档或接口地址，在数字化时代，API成为了数据交互的核心，但同时也带来了安全问题，本文的思路在于总结一些api方面常见的攻击面。笔者在此方向也是一...

07月04日22 views评论

阅读全文

安全工具

SwaggerSpy：一款针对SwaggerHub的自动化OSINT安全工具

关于SwaggerSpySwaggerSpy是一款针对SwaggerHub的自动化公开资源情报（OSINT）安全工具，该工具专为网络安全研究人员设计，旨在简化广大红队研究人员从SwaggerHub上收...

06月12日32 views评论

阅读全文

安全文章

红队篇-针对某集团的Web打点突破

开局一个登录口对页面进行目录fuzz发现/ct/account.html页面存在打开后发现有个添加账户的功能，点击后竟直接跳转到了系统后台首页，算是绕过登录对添加账户进行抓包分析，可以发现是POST请...

06月08日10 views评论

阅读全文

Swagger API 信息泄露利用工具

这是一个 Swagger API 信息泄露的利用小工具。它完成几个简单的工作：遍历所有API接口，自动填充参数尝试 GET / POST 所有接口，返回 Response Code / Cont...

06月07日安全工具56 views评论

阅读全文

在线咨询

微信