律师
溯源实例-从OA到某信源RCE攻击
2021年国Hvv真实溯源过程,在流量设备告警能力弱的情况下,重人工介入分析整个过程总结,回顾当时整个溯源过程和0day的捕获过程,尝试把当时的心境和技术上的思考点梳理出来,给大家参考,批评。
- 24
- 16
- Alivin
- 发布于 2022-07-21 09:25:09
- 阅读 ( 18758 )
一次奇妙的降价支付逻辑漏洞挖掘之旅
字字经典,本文以上帝视角,带你洞察整个主流支付功能背后的逻辑,之后再轻挥衣袖,实现降价支付!
- 10
- 15
- 新人小安
- 发布于 2025-03-17 09:00:01
- 阅读 ( 31641 )
xhys
某学校授权渗透测试评估
从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决定了攻击面。若该篇文章存在错误恳请各位师傅们斧正;若您对该渗透流程有更好的建议或者不同的思路想法也烦请您不吝赐教。
- 19
- 15
- hey
- 发布于 2024-01-08 10:00:02
- 阅读 ( 13713 )
hey
苏苏的五彩棒
【溯源反制】自搭建蜜罐到反制攻击队
本篇文章结合之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流
- 17
- 15
- hyyrent
- 发布于 2023-09-01 09:00:02
- 阅读 ( 12786 )
hyyrent
浅谈Webpack导致的一些问题
webpack的打包方便了我们,却也因为他的特性,使网站也存在了一些安全问题......
- 17
- 15
- TUANOAN
- 发布于 2022-07-13 09:52:50
- 阅读 ( 18320 )
yier
记一次某大厂csrf漏洞通过蠕虫从低危到高危
本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度
- 19
- 14
- 7ech_N3rd
- 发布于 2025-03-11 09:00:00
- 阅读 ( 35715 )
小米AX9000路由器CVE-2023-26315漏洞挖掘
分享一个笔者挖的小米AX9000路由器命令注入漏洞(CVE-2023-26315)的调用链分析。为了赏金挖洞,为了稿费发文,又要到饭了兄弟们!
- 13
- 14
- winmt
- 发布于 2024-05-23 09:00:00
- 阅读 ( 19444 )
winmt
某众测前端解密学习记录
某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。
- 16
- 14
- lei_sec
- 发布于 2024-04-15 10:13:29
- 阅读 ( 9658 )
半自动化代码审计实战
无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力,仍然会存在着一些局限性;为了克服这些局限性,使用自动化代码审计工具可以快速识别所有可疑漏洞的位置,从而提高审计的效率和准确性!
- 11
- 14
- Yu9
- 发布于 2024-02-22 09:00:01
- 阅读 ( 14557 )
Yu9
记一次任意文件下载(尝试Getshell未果)
有请今天的主角登场,不难看出这是一个招聘系统 1.先尝试注册
- 9
- 14
- C01D
- 发布于 2023-02-17 16:19:55
- 阅读 ( 11812 )
C01D
dota_st
零基础解密手机微信【视频讲解】
#前言: 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利。但同时也给 不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。 上篇我们介绍了PC端微信相关数...
- 10
- 14
- 天禧信安
- 发布于 2021-08-30 10:10:00
- 阅读 ( 19443 )
天禧信安
同源异梦:JWT 泄露后从主站到旁站的渗透曲线
在测试过程中,常常会遇到jwt的泄露,但是在测试时,无论加什么header,如何改uri,最后的结果不是401,就是404。不妨试一下同IP站点或者相似站点。
- 8
- 13
- _7
- 发布于 2025-07-02 09:43:33
- 阅读 ( 2652 )
_7