排序
暴露1700万用户数据的IDOR漏洞
本文详细介绍了近期发现的IDOR漏洞,该漏洞可能导致1700万用户的数据被曝光。了解如何识别和防止此类安全风险,保护个人信息安全。
3年前一次授权测试引起的全域名沦陷
本文详细记录了一次授权测试过程中发现的多个关键安全漏洞,包括XSS攻击、代码运行权限滥用及OSS密钥复用问题。这些漏洞可能导致全域名沦陷,强调了网络安全的重要性。
3年前域权限维持之DCShadow
Discover the DCShadow attack technique and how it allows malicious attackers to maintain domain privileges by creating a fake domain controller. Learn about its
3年前记一次对某企业的渗透测试
This article details a penetration test on an enterprise, focusing on identifying vulnerabilities through SQL injection and achieving system control by escalati
3年前实战 | 记一次PII 数据泄露和1500 美元的赏金
本文详细讲述了PII数据泄露和XSS漏洞的实战案例,包括子域名挖掘、动态暴力破解、IDOR测试等方法。揭示了如何通过API端点访问用户敏感信息。
3年前『代码审计』记一次 Java 代码审计
This article details a comprehensive Java code audit of a backend system using SpringBoot + Mybatis. It highlights vulnerabilities such as Shiro deserialization
3年前某次攻防演练中对任意文件读取漏洞的利用
本文详细记录了一次攻防演练中,利用任意文件读取漏洞成功获取目标系统的敏感信息的过程。包括向日葵、数据库和SSH等关键路径的详细分析。
3年前某国外加固环境检测与绕过
本文详细分析了如何绕过某国外加固厂商的环境检测,通过定位检测逻辑、正向开发思路、native流程分析等步骤,提供了实用的技术方案。
3年前实战|记一次寄生虫站点中的组件Getshell到白嫖day
本文详细记录了一次从寄生虫站点中发现并利用组件漏洞获得Getshell权限的过程。了解如何通过上传base64文件进行攻击,以及前端文件读取的巧妙利用方法。
3年前靶场实操|域渗透之红日靶场4
本篇文章详细介绍了在Red Sun靶场上针对Struts2框架、Tomcat和PhpMyAdmin的渗透测试过程,包括信息收集、Web入侵及Docker逃逸实战。
3年前一次对小程序的安全测试
This article discusses the security testing process for mini programs, focusing on data encryption methods like SM2 encryption. It provides a detailed guide on
3年前实战|记一次5657美金赏金的XSS漏洞挖掘经历
本文分享了一次成功的XSS漏洞挖掘经历,详细描述了如何利用存储的XSS漏洞窃取cookie并实现账号接管。通过实际案例介绍了payload设计及复现过程,并最终获得了5657美元的奖金。
3年前