一次400美元赏金的实战挖掘之旅
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部
迪哥讲事
rce
一次结合base64的0元购
swagger管理未授权访问
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的
挖洞所必须的一些信息泄露和js分析工具
sql注入新思路
html注入导致的高危
通过文件上传实现的xss
盲ssrf
一次意外的接口测试
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是之前的一次
提取接口利器
xss绕过
突发:知名教育博主张雪峰老师去世
参数未校验所导致的账户劫持
正文该漏洞利用链可用于窃取用户通过 Google、GitHub、Bitbucket、Twitter、Sales
业务逻辑中存在的权限绕过
身份验证绕过
正文登录系统 → 进入 Tasks(任务)。复制 Private Link(私有链接)。
xss绕过思路
xss绕过思路正文访问链接 https://███/siteminderagent/forms/smpwser
【SRC实战】JS逆向到成功注入
📝 编者语本文是学习JS逆向课程后的产出——从「怎么每个请求都带个 Sign」开始,一路走到「JS 逆向签名
缓存中毒
正文1.添加以下请求头:X-Forwarded-Host: XXX2.待发送的请求(附带?
记一次实战渗透测试
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的
作者主页: https://github.com/richard1230
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)