排序
某次演练过程中一个有趣的记录 | 某vue网站测试
文章详细记录了一次利用VueCrack插件进行未授权接口测试的过程,揭示了如何通过SQL注入和API接口发现潜在安全漏洞。了解前后端分离网站的测试技巧,提高网络安全防护能力。
5个月前漏洞挖掘:众测src测试姿势总结
Discover effective payment vulnerability testing strategies and explore common issues such as XSS, CSRF, and file upload flaws in this comprehensive guide for c
5个月前文件上传黑名单限制的绕过总结
Explore advanced file upload blacklist bypass techniques and practical cases. Learn about detection logic flaws, system configurations, and middleware parsing v
5个月前某企业SRC的低危到中危案例
This article discusses a case study of low to medium vulnerability discovered in an enterprise's security research and response (SRC) process. The author detail
5个月前SRC | 从JS逆向到任意用户登录
本文深入解析了如何通过JS逆向分析找到验证码双发问题,从而实现任意用户登录。文章详细介绍了从发现sign校验到生成sign值的过程,并提供了脚本测试案例。
5个月前黑名单过滤下为何还能无限制SQL注入!
本文深入剖析了一个在使用Mybatis-plus框架时,尽管进行了严格的SQL注入黑名单过滤但仍存在的SQL注入漏洞。通过代码审计分享了实际案例和解决方案,帮助开发者避免类似问题。
3个月前SRC实战ssrf挖掘
分享实战案例,深入解析PDF导出功能中的SSRF漏洞及利用方法。了解如何通过meta标签、dnslog测试地址等技术手段进行攻击,提高网络安全防护意识。
3个月前记一次漏洞挖掘经历
This article shares practical experiences of discovering vulnerabilities in a school-developed app, including sensitive information leaks, privilege escalation,
3个月前海康安防后渗透利用分析
Learn about the exploitation techniques for Hikvision's security vulnerabilities in their comprehensive surveillance systems. This article covers getting shell
3个月前ClickHouse 数据库渗透及攻防指南
本文提供ClickHouse数据库的安全测试和防御策略,包括信息泄露、文件读写、命令执行等常见攻击手段。
3个月前国密TLS协议传输数据抓包
了解在使用BurpSuite抓取国密TLS协议数据包时遇到的问题及解决方案,探讨GMProxy和Yakit等工具在测试中的应用。
2个月前实战 | 某次演练过程中一个有趣的记录
本文记录了一次使用VueCrack工具进行安全演练的过程,揭示了如何通过未授权接口获取大量数据。了解实战中的API测试技巧和发现安全问题的方法。
2个月前