漏洞 »

挖洞經驗 | 利用越權漏洞竊取Airbnb房東的收款資金
挖洞經驗 | 利用越權漏洞竊取Airbnb房東的收款資金
2020-01-09  
今天分享的Writeup是作者在2017年發現,在最近披露的Airbnb平臺漏洞,漏洞類型為越權(IDOR)。
漏洞 已有 19254 人圍觀 ,發現 4 個不明物體
Python代碼審計實戰案例總結之CRLF和任意文件讀取
Python代碼審計實戰案例總結之CRLF和任意文件讀取
2020-01-09  
目前Python代碼審計思路,呈現分散和多樣的趨勢。Python微薄研發經驗以及結合實際遇到的思路和技巧進行總結,以便于朋友們的學習和參考。
WEB安全漏洞 已有 32301 人圍觀 ,發現 9 個不明物體
抖音海外版TikTok修復多個嚴重安全漏洞
抖音海外版TikTok修復多個嚴重安全漏洞
2020-01-09  
抖音海外版TikTok作為一款成功沖出國門,走到全球的現象級產品,2019年它在全球APP下載量排名第三,在成功的同時,這也引來了繁華勢力的眼紅,美國海軍、陸軍紛紛表示不得安裝該應用。
漏洞 已有 20701 人圍觀 ,發現 1 個不明物體
挖洞經驗 | 在賬戶注冊和意見反饋處發現越權漏洞(IDOR)
挖洞經驗 | 在賬戶注冊和意見反饋處發現越權漏洞(IDOR)
2020-01-08  
今天分享幾點關于越權漏洞(IDOR)的發現經驗,這類型漏洞通常發生在Web應用提供給用戶基于輸入的對象中,漏洞造成的影響將會致使攻擊者可以繞過授權限制,訪問到目標系統內其它不應該被訪問到的資源或數據。
WEB安全漏洞 已有 28612 人圍觀 ,發現 3 個不明物體
挖洞經驗 | 用空字節(Null Byte)觸發內存泄露的4萬美金漏洞
挖洞經驗 | 用空字節(Null Byte)觸發內存泄露的4萬美金漏洞
2020-01-07  
作為前言,當我在7月底發現本文中的漏洞時,我還不知道有“空字節溢出”這種類型的安全問題。我僅只是對一個標準Web應用的用戶輸入點進行了Fuzzing測試,就發現了這么一個有意思的漏洞。
WEB安全漏洞 已有 60332 人圍觀 ,發現 10 個不明物體
挖洞經驗 | Firefox for iOS瀏覽器的二維碼掃碼XSS漏洞
挖洞經驗 | Firefox for iOS瀏覽器的二維碼掃碼XSS漏洞
2020-01-06  
在手機中,我們通常訪問一個網站的做法是打開瀏覽器在地址欄中輸入網站地址,一般來說這樣的方法有些煩人,所以,有些網站訪問對象通常也會生成一個二維碼圖片,方便用戶直接掃碼訪問。
WEB安全漏洞 已有 37394 人圍觀 ,發現 3 個不明物體
手把手帶你利用SQLmap結合OOB技術實現音速盲注
手把手帶你利用SQLmap結合OOB技術實現音速盲注
2020-01-06  
通過sqlmap神器通過OOB 把漫長幾個小時的盲注的時間,縮短到了幾秒。這篇文章就是把這些東西記錄下來,并將具體的實現過程詳細步驟分享給大家。
工具漏洞 已有 72255 人圍觀 ,發現 24 個不明物體
挖洞經驗 | 在密碼重置請求包中添加X-Forwarded-Host實現受害者賬戶完全劫持
挖洞經驗 | 在密碼重置請求包中添加X-Forwarded-Host實現受害者賬戶完全劫持
2020-01-05  
今天分享的這篇Writeup為作者通過利用目標網站“忘記密碼”功能,在重置密碼請求發包中添加X-Forwarded-Host主機信息,欺騙目標網站把重置密碼的鏈接導向到自己的服務器,從而實現對受害者賬戶的完全劫持。
漏洞 已有 65542 人圍觀 ,發現 11 個不明物體
挖洞經驗 | 通過Vimeo的文件上傳功能發現其SSRF漏洞($5000)
挖洞經驗 | 通過Vimeo的文件上傳功能發現其SSRF漏洞($5000)
2019-12-30  
本文分享的是視頻分享網站Vimeo的一個SSRF漏洞,作者通過Vimeo上傳功能中Vimeo分次讀取部份文件流的機制發現了該漏洞,漏洞最終獲得了Vimeo官方$5,000美金獎勵。
WEB安全漏洞 已有 50773 人圍觀 ,發現 9 個不明物體
談高效漏洞挖掘之Fuzzing的藝術
談高效漏洞挖掘之Fuzzing的藝術
2019-12-30  
漏洞挖掘/黑盒測試過程中的遇到過的一些fuzz技術思想有必要借用我遇到過的實戰中的例子來歸納總結下,通過實例對fuzz的思想進行展開。
WEB安全漏洞 已有 145839 人圍觀 ,發現 19 個不明物體
挖洞經驗 | 如何發現更多的IDOR漏洞(越權漏洞)
挖洞經驗 | 如何發現更多的IDOR漏洞(越權漏洞)
2019-12-29  
我非常喜歡搞IDOR漏洞,它通常被稱為不安全的直接對象引用或是越權,一般來說它的發現手段相對簡單,利用方式也不太難,但是對網站業務的危害影響卻比較嚴重。
WEB安全漏洞 已有 52157 人圍觀 ,發現 3 個不明物體
挖洞經驗 | 利用Instagram版權功能構造CSRF漏洞刪除其他用戶文件
挖洞經驗 | 利用Instagram版權功能構造CSRF漏洞刪除其他用戶文件
2019-12-29  
最近,我注意到Instagram增加了大量的版權說明部分,其中聲稱,當用戶上傳到Instagram的媒體文件侵犯了其他地方的知識版權后,就會顯示一個通知反映媒體文件的版權上訴信息,之后Instagram會自動刪除該文件。
WEB安全漏洞 已有 32044 人圍觀 ,發現 4 個不明物體
挖洞經驗 | AirDoS攻擊能遠程讓附近的iPhone或iPad設備無法使用
挖洞經驗 | AirDoS攻擊能遠程讓附近的iPhone或iPad設備無法使用
2019-12-28  
如果你一走進某個房間就能讓里面的所有iPhone或iPad設備無法使用,會怎么樣?是不是聽起來非常邪惡?有什么好的方法讓那些老是低頭刷蘋果手機的人停下來?
漏洞系統安全 已有 36359 人圍觀 ,發現 1 個不明物體
從0開始入門Chrome Ext安全(二):安全的Chrome Ext
從0開始入門Chrome Ext安全(二):安全的Chrome Ext
2019-12-26  
在2019年初,微軟正式選擇了Chromium作為默認瀏覽器,并放棄edge的發展。并在19年4月8日,Edge正式放出了基于Chromium開發的Edge Dev瀏覽器,并提供了兼容Chrome Ext的配套插件管理。
WEB安全漏洞 已有 41812 人圍觀 ,發現 2 個不明物體
挖洞經驗 | 一個非常簡單的Instagram邏輯漏洞($XXXX)
挖洞經驗 | 一個非常簡單的Instagram邏輯漏洞($XXXX)
2019-12-24  
本文分享的是作者通過普通瀏覽就發現的Instagram的一個邏輯漏洞,漏洞非常非常非常簡單,最終該漏洞獲得了Facebook官方$XXXX的獎勵和榜單致謝。
WEB安全漏洞 已有 89046 人圍觀 ,發現 23 個不明物體
挖洞經驗 | 700美金的WordPress Dos漏洞CVE-2018-6389分析
挖洞經驗 | 700美金的WordPress Dos漏洞CVE-2018-6389分析
2019-12-23  
本文分享的Writeup是關于WordPress的DoS通殺漏洞CVE-2018-6389,該漏洞影響3.x至4.x所有版本的WordPress程序,作者針對該漏洞對目標網站進行了測試驗證,從而獲得了$700的漏洞賞金。
漏洞 已有 63553 人圍觀 ,發現 3 個不明物體

最新話題

活動預告

css.php 微信上那些说赚钱是真的吗