今天看到有公众号发了yapi的利用了,团队师傅之前已经分析好了,某些未知因素,就扔在星球了也没有发出来。不过目前已经出来详情了都出来了,现在发问题应该也不大,索性就发出来了。利用文章 ,可以参考htt...
某区块链题目详解
本文为看雪论坛优秀文章看雪论坛作者ID:oacia本次题目的地址为sepolia@0x053cd080A26CB03d5E6d2956CeBB31c56E7660CA前言这一次1024程序员节中有区块...
Pikachu新手教学之CSRF
0x01CSRF(跨站请求伪造) 原理:攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏 览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行 当用...
2019HECTF总结_web题
奇怪的编码 ♭‖§∮♯♭‖§∮♬♭‖§§♫♭‖§∮§♭‖§♩§♭‖♯♬¶♭‖§§♫♭‖§§¶♭‖♯¶§♭‖♯¶♫♭‖§∮♭♭‖§§♫♭‖§§♬♭‖♯♬♪♭‖♯¶♪♭‖♯¶‖♭‖♯¶♯♭‖♯♬♬♭‖♯♬...
CISCN2019 web writeup
记录一下萌新的第一次CISCN之旅,这次和队友一起完成了两道web题目(虽然第二题没有什么输出),这次的web题目质量很高,接下来是我对这次比赛解题过程的记录~ web1 访问index.php,可以...
K8s配置用户身份认证
配置用户身份认证 在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书)&...
实战|记一次前端安全测试
扫码领资料获网安教程免费&进群一、前言准的遇到一个传输过程数据被加密的网站,无法重放改包,前端也做了较为严格的限制,测试一度陷入僵局,最终从js找到突破点拿到web后台管理员权限二、过程网站前...
内网渗透之流量代理(frp)
通常我们拿到shell之后扫内网之后,要进行目标机器的服务进行访问 的,这就需要把内网的流量代理到外网出来,也就是常说的内网穿透2.概况上传 目标机 frpc.exe 、frpc....
Delegatacall的多种利用
1. 跨合约函数调用 在solidity中,有两种call函数可以实现跨合约调用,包括call和delegatacall。1...
记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
Vue越权延生的变种玩法-菜单越权
前言: 和Tuanoan师傅交流了Vue这块的资产问题,确实站点能注册的点比较少,今天带来种变种玩法挖掘菜单越权。 前面说过了,Vue越权的原理都是基于系统菜单,访问菜单的Url,后台通常只...
某安全设备frp流量告警分析
点击蓝字关注我们声明本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本人无关。前言也是第一次使用某商设备,不同厂商的规则库不一样,总的来说流量监控很大一部分是...
17