swagger - 第 9 | CN-SEC 中文网

安全文章

接口未授权到获取超级管理员权限

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。各位大佬应该在项目中可能都或多或少的会遇见一些swagger、soap等接口的未授权访问漏洞，可能有些大佬...

09月21日35 views评论

阅读全文

安全工具

【红队】一款跨平台社区网页指纹识别工具

工具介绍一款跨平台社区网页指纹识别工具，类似glass、eholo,不同的是该工具调用 nuclei ，可以同时进行漏洞验证。工具使用用法：observer_ward [-t <目标>]...

07月25日107 views评论

阅读全文

安全漏洞

漏洞预警 | rswag目录遍历漏洞

0x00 漏洞编号CVE-2023-383370x01 危险等级高危0x02 漏洞概述RSwag是一个用于Rails API的Swagger的无缝集成，它可以自动为您的API生成Swagger文档，并...

07月19日166 views评论

阅读全文

安全工具

渗透测试工具箱 -- 承影

0x01 工具介绍承影 - 一款安全工具箱,集成了目录扫描、JWT、Swagger 测试、编/解码、轻量级 BurpSuite、杀软辅助功能。 0x02 安装与使用一、目录扫描提取 dirsea...

06月28日8 views评论

阅读全文

安全文章

Springboot攻击面初探（一）

学习Springboot！Spring是一个java开源框架，可以接管web层、业务层、dao层、持久层的组件，其核心就是控制反转(IOC)和面向切面(AOP)。Spring框架有众多衍生产品如boo...

06月22日81 views评论

阅读全文

安全文章

云安全之信息泄露利用

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

06月05日73 views评论

阅读全文

安全文章

从swagger api泄露到进入后台

点击蓝字关注我们三月底拿swagger未授权水了几天的cnvd，期间遇到过一个比较经典的网站，拿出啦当作典型进行分享一个监测预警平台的api接口文档（其实能访问到这个页面就已经可以提交cnvd水分了但...

06月05日69 views评论

阅读全文

安全工具

API接口安全测试大全（一键扫描工具）

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！ 0x00 api接口介绍通常在网站的通讯中，很多会调用api接口去方便更多信息的管理与调用，但是当使用某些api时，在开发人员未对api接...

05月31日124 views评论

阅读全文

安全工具

承影，一款安全工具箱

承影将旦昧爽之交，日夕昏明之际，北面而察之，淡淡焉若有物存，莫识其状。其所触也，窃窃然有声，经物而物不疾也。项目地址：https://github.com/yhy0/ChYing&nbs...

05月22日124 views评论

阅读全文

安全文章

Api接口安全测试方法大全（附一键化扫描工具）

0x00 api接口介绍通常在网站的通讯中，很多会调用api接口去方便更多信息的管理与调用，但是当使用某些api时，在开发人员未对api接口做出访问策略限制或其他的加固，会导致其他的用户发现api的时...

05月21日460 views评论

阅读全文

安全文章

峰回路转之捡漏CNVD证书

点击蓝字，关注我们01前言鹰图真好用HAHAHAHA.今天讲点压箱底的东西.02灵机一动最近这半个多月，瓶颈期了，黑盒黑不出东西，白盒审不出东西幸好今天灵机一动换了个资产搜集语法直接打到移某通信的sw...

05月16日52 views评论

阅读全文

安全文章

捡漏CNVD证书

前言最近这半个多月，瓶颈期了，黑盒黑不出东西，白盒审不出东西幸好今天灵机一动换了个资产搜集语法直接打到移某通信的swagger未授权访问语法:(icp.name="中国XX通信" or&nb...

05月15日140 views评论

阅读全文

在线咨询

微信