全部 - 热门的文章 - 第3页 - 奇安信攻防社区

渗透测试JS接口Fuzz场景研究

渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键,介绍尝试测试思路以及对参数Fuzz 手段

31
20
一天要喝八杯水
发布于 2025-02-27 09:30:02
阅读 ( 8188 )

利用js挖掘漏洞

在漏洞挖掘中，通过对js的挖掘可发现诸多安全问题，此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。

19
6
中铁13层打工人
发布于 2024-11-26 09:37:28
阅读 ( 7695 )

记一次绕过阿里云waf与某不知名waf的双waf上传getshell

本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell

14
11
张三一号
发布于 2025-01-23 10:00:01
阅读 ( 7642 )

实战 | 微信小程序EDUSRC渗透漏洞复盘

这里给师傅们总结下我们在进行漏洞挖掘过程中需要注意的细节，比如我们在看到一个功能点多个数据包的时候，我们需要去挨个分析里面的数据包构造，进而分析数据包的走向，去了解数据包的一个业务逻辑，特别是微信小程序

7
10
routing
发布于 2025-01-21 08:00:02
阅读 ( 7641 )

LLVM Pass-PWN：从理论到实践，从入门到精通

内容包含LLVM Pass类PWN详细解读

5
0
麦当当
发布于 2024-11-08 09:00:01
阅读 ( 7562 )

ksmbd 条件竞争漏洞挖掘：思路与案例

ksmbd 条件竞争漏洞挖掘：思路与案例本文介绍从代码审计的角度分析、挖掘条件竞争、UAF 漏洞思路，并以 ksmbd 为实例介绍审计的过程和几个经典漏洞案例。分析代码版本为：linux-6.5.5 相关漏...

4
1
hac425
发布于 2024-11-27 10:00:01
阅读 ( 7216 )

一文搞懂加密流量检测的解决方法和技术细节

这篇文章从一个略懂密码学的安全分析工程师的角度围绕加密流量检测的问题开展详细的分析；让每一位读者明白加密流量的检测原理，以及目前市面上常见的检测方法落地。

3
6
Ga0WeI
发布于 2024-11-14 09:58:32
阅读 ( 7180 )

智能汽车安全-漏洞挖掘到控车攻击

本文专注讲解真实漏洞、挖掘技巧、实际控车案例和个人的建议，不涉及复杂的汽车架构、网络拓扑、车内通信等技术，所有人都可放心食用

13
12
OYyunshen
发布于 2025-04-30 11:33:20
阅读 ( 7092 )

小程序渗透记录通过细节挖掘漏洞的艺术

近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助，欢迎指正及交流学习！

21
26
一天要喝八杯水
发布于 2025-03-27 09:00:00
阅读 ( 7067 )

巧用Chrome-CDP远程调用Debug突破JS逆向

CDP远程调用非常方便，他允许我们直接可以通过代码来操作浏览器完成一系列行为，希望通过我的这篇文章让师傅们对其有一定了解，学习并赋能与我们的渗透测试与安全研究工作之中，提升效率！

1
4
新人小安
发布于 2025-01-22 09:00:01
阅读 ( 6903 )

浅谈常见edu漏洞，逻辑漏洞➡越权➡接管➡getshell，小白如何快速找准漏洞

之前闲来无事承接了一个高校的渗透测试，测试过程中没有什么复杂的漏洞，是一些基础的edu常见漏洞，适合基础学习，于是整理一下和师傅们分享。

18
7
薛定谔不喜欢猫
发布于 2025-04-23 11:48:33
阅读 ( 6843 )

最近挖到的中高危漏洞，既没靠 `0day` 这种 "王炸"，也没搞复杂利用链 "炫技"，纯靠瞪大眼睛当 "人肉扫描器"，连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午，随手改了个藏在 `JSON` 数据深处的小参数，系统突然像短路反馈了全新的信息，反常的响应直接暴露未授权访问的 "马脚"。当时激动得差点把咖啡泼到键盘上，看着满地咖啡渍才顿悟 —— 原来倒掉的咖啡，比直接喝咖啡提神一百倍