一、引言WAF (Web Application Firewall)即应用防火墙。主要是用于HTTP(S)协议的校验、拦截恶意(攻击)请求,放行正常的业务请求。WAF的类型分为三类:网络层、应用层、云...
小程序逆向 某小程序通过助力链接盗号
又是上一个小程序,开发出来挨打(不是)是盗小程序的账号,不是微信号~助力玩法如下转发到群里,别人点进去就算助力成功浅浅抓个包,发现助力的jid(用户凭证)明文传输于是用mitmproxy写了个脚本fr...
对某泛微OA的一次渗透测试_利用方式三
目录 1.前言 2.自动化渗透测试 3.漏洞验证 4.漏洞利用 4.1 获取dbo系统管理员账号 4.2 获取员工账号密码 5.urlencode3.py 6.结尾 1.前言 在一个风和日丽的周末,接...
SRC挖掘案例之JWT学习
本文由公众号:rainy的安全小屋 投稿,大家可以多多关注下面的公众号,不定期发一些SRC案例免责声明道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器...
GraphQL API | 通过未被净化的参数获取隐私信息漏洞
前言GraphQL API-通过未被净化的参数获取隐私信息Lab: Accessing private GraphQL posts实验前置必要知识点在GraphQL端点发送任何query{__type...
Apache OfBiz CVE-2024-32113和CVE-2024-36104 漏洞 POC
Apache OfBiz 漏洞CVE-2024-32113 的 POCUSERNAME和参数PASSWORD可以在/ecomseo/AnonContactus界面上提供,任何人都可以公开访问。POC1...
神兵利器 - presshell【文末赠书-Web安全攻防从入门到精通】
在您的 wordpress 服务器上执行 shell 命令。上传的 shell 可能会在<your-host>/wp-content/plugins/shell/shell.php安装要安...