P1-短信轰炸(两处,注册、重置密码) ①漏洞URL:http://www.example.com/FrontUser/UserRegister.aspx 注册账号处输入手机号码,不断重放数据包,...
钉ding/企业V信API-T00L利用工具
工具简介 针对互联网各大API泄露的利用工具,包含钉钉、企业微信、飞书等,目前界面长这样,布局拉胯,能用就行。 特别鸣谢chatgpt,代码好帮手。 钉钉利用 1、肯定你得有ak、as,填进去获取to...
记一次密码重置到后台GetShell
1.尝试登录 1.打开网页,看到一个登录,尝试点击2.发现提示 Unknown host3.因为刚开始是用 IP 访问的网站,点击登录按钮为域名访问该网站,猜测可能使用域名访问不了,于是把域名改为IP...
云麦智能秤app账户接管漏洞 | 干货
介绍最近,在一个内部物联网研究项目中,我们对云麦智能秤的安卓和iOS应用进行了渗透测试。以下是我们发现的 5 个漏洞,我们将其中的 3 个(#2、#3 和 #4)链接起来以实现大规模帐户接管。所有漏洞...
WEBGOAT靶场
安装windows安装需要代码审计,直接在下载地址下载文件,将下载的webgoat.jar文件移动到文件夹中,将文件夹用IDEA打开运行前提:需要java11环境下载地址:https://github...
Python制作微信自动回复机器人,打游戏时自动回复女朋友消息
点击上方“萝卜大杂烩”,选择“星标”公众号 超级无敌干货,第一时间送达!!! 来源:blog.csdn.net/weixin_51277037 前言 自从微信网页版登录禁止后,原来的自动登录回复就失效...
攻防案例分享
近期参加些攻防,选了一些个案例和大家分享,该篇内容没有多少技术上的研究和讲解,有的是些攻击上的思路及过程截图。文中图片上打了很多码,请大家见谅。怕公众号暴毙(近期有很多公众号已经没了)。案例一:钓鱼到...
泄露大量手机号,证件照。某校园社交APP后台接口无权限认证
一如既往的后台接口权限设置问题,不负责任的企业可真多。接口地址:http://********/user...
实战 | 某X缴费系统未授权访问
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!通过抓包得知xxxxxx/appUserAcct/list?appUserId=xxx&roleId=4这个appUserId就是关键...
实战-逻辑漏洞挖掘
学网安渗透扫码加我吧免费&进群 ...
Burp的被动挖洞技巧
Burp所有做安全的应该都不会陌生,算是渗透测试中的神器,它的功能、扩展都能在渗透测试中发挥作用。当然,也不是所有人都了解它,善于运用它。废话不多说,开始今天的分享。打开burp,如图找到Match ...
某缴费系统越权加未授权访问
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...