【Web实战】一次空白页面的“妙手回春”嘎嘎出严重漏洞
某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干!
- 4
- 6
- Johnson666
- 发布于 2023-11-08 10:00:00
- 阅读 ( 5422 )
Johnson666
【Web实战】记一次对某停车场系统的测试
对某停车场系统的测试
- 6
- 6
- T4nGgggggggggggggggggggggggggggggggg
- 发布于 2023-11-06 10:53:16
- 阅读 ( 5174 )
T4nGgggggggggggggggggggggggggggggggg
LiAoRJ
记一次文件名触发SQL注入的漏洞测试
只要是插入数据库的参数都有可能成为SQL注入的利用点,一切接口都可能存在漏洞,细节决定成败
- 8
- 6
- 信安之路团队
- 发布于 2022-06-22 09:43:58
- 阅读 ( 5411 )
信安之路团队
walker1995
OAuth2.0漏洞分析
本文对OAuth2.0的Bearer Token生成接口未授权访问漏洞、URL重定向漏洞、ID Secret泄漏漏洞、postMessage XSS漏洞进行了分析利用
- 7
- 6
- 苏苏的五彩棒
- 发布于 2022-04-14 09:50:46
- 阅读 ( 15051 )
苏苏的五彩棒
如何入门游戏漏洞挖掘
大家普遍认为游戏漏洞挖掘难度大,游戏漏洞挖洞过程繁琐,事实不是这样,本文以简单的手游漏洞案例和挖掘过程为大家打消游戏漏洞挖掘的思想壁垒。首先我们先了解一下游戏外挂和反外挂。
- 10
- 6
- 带头大哥
- 发布于 2024-02-22 11:30:46
- 阅读 ( 9273 )
小惜渗透
记一次抽丝剥茧式的渗透测试
网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。本文以一次项目实战为基础展开。
- 9
- 5
- 苏苏的五彩棒
- 发布于 2023-09-08 09:00:00
- 阅读 ( 7022 )
edu-SQL注入案例分享
最近陪别人挖小程序,没有解包操作,就对单纯的数据包进行测试,发现SQL注入还是很多的,小程序开发对接口权限频和SQL繁出现问题,因此导致大量信息泄露,而且在大多数均在json接口中出现。
- 12
- 5
- 浪飒sec
- 发布于 2023-06-27 09:00:00
- 阅读 ( 8135 )
浪飒sec
Tug0u_Fenr1r
python进行shellcode免杀
python shellcode免杀的常用手法,实现过常见AV的效果。
- 12
- 5
- St3pBy
- 发布于 2022-06-24 09:35:06
- 阅读 ( 11196 )
tx1ee
奇安信攻防社区
实战挖洞技巧-记一次由任意注册引发的严重信息泄露案例
### 一、前言 某天闲来无事上号fofa跑了一波站点,凭着我敏锐(并不)的直觉随手点进一个站点开始硬莽。本文打码较严,师傅们海涵。 ### 二、漏洞挖掘过程 开局先是这么一个登录框,那么看到...
- 2
- 5
- 长相安
- 发布于 2021-05-06 11:06:40
- 阅读 ( 5363 )
记一次前端断点调试到管理员登陆
差点shell,可惜条件不允许。实战总是差点shell的火候,真是令人痛心呐痛心。 发现前端漏洞 This is a 靶标,出于保密原因我就不上图了,长得非常泛微。 一般看到这种一眼通用的系统我都会直接...
- 5
- 4
- 阿斯特
- 发布于 2024-08-07 09:00:00
- 阅读 ( 1906 )
阿斯特