挖洞经验 | 看我如何发现影响20多个Uber子域名的XSS漏洞
挖洞经验 | 看我如何发现影响20多个Uber子域名的XSS漏洞
2018-12-12  
大家好,今天我要分享的是一个影响20多个Uber子域名的XSS漏洞,该漏洞存在于uberinternal.com身份验证时向uber.onelogin.com的跳转过程中,漏洞最终获得了Uber官方$2500美金奖励。
WEB安全漏洞 已有 44113 人围观 ,发现 3 个不明物体
Google网页快照对抗小技巧
Google网页快照对抗小技巧
2018-12-12  
我们有没有办法和Google对抗一下,让我的网站不能被网页快照收录?办法肯定是有的。
WEB安全 已有 76299 人围观 ,发现 7 个不明物体
SQL注入常规Fuzz全记录
SQL注入常规Fuzz全记录
2018-12-11  
本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。
WEB安全 已有 215571 人围观 ,发现 17 个不明物体
一则有趣的XSS WAF规则探测与绕过
一则有趣的XSS WAF规则探测与绕过
2018-12-10  
本文是以B站一个有趣的XSS(已修复)为引子(为什么说有趣后面再解释),作为实例分析其WAF的规则,方便大家加深对XSS WAF探测以及针对性bypass的理解。
WEB安全 已有 123386 人围观 ,发现 17 个不明物体
理解DNS记录以及在渗透测试中的简单应用
理解DNS记录以及在渗透测试中的简单应用
2018-12-10  
DNS可以在侦查过程中提供有价值的数据,DNS的基本功能是将域名转换为IP地址。现在已经有许多出色的工具和方法可以助我们从域名服务器提取我们需要的数据以便用于渗透测试。
WEB安全 已有 99044 人围观 ,发现 5 个不明物体
浅谈HTTP隐蔽隧道下的RDP暴力破解测试
浅谈HTTP隐蔽隧道下的RDP暴力破解测试
2018-12-09  
HTTP隧道用于在受限网络连接的条件下在两台计算机之间创建网络链接,用于绕过IDS、Firewall一类的安全设备限制实现基于HTTP协议的通信,由于工作需要就简单的做了一下研究与分析,个人愚见大佬勿喷。
WEB安全 已有 66297 人围观 ,发现 10 个不明物体
SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
2018-12-06  
对于mysql的注入,基本上是每一名web安全从业者入门的基本功,这里不多废话,结合本人无聊时在mysql上的测试,来谈一谈mysql在过滤某些特殊字符情况下的注入,因为是想到哪写到哪,文章比较散,各位大佬请绕过,和…
WEB安全 已有 73935 人围观 ,发现 6 个不明物体
挖洞经验 | Vine用户隐私信息泄露漏洞($7560)
挖洞经验 | Vine用户隐私信息泄露漏洞($7560)
2018-12-05  
免费移动应用Vine出现用户隐私泄露漏洞,漏洞原因在于不安全的直接对象引用,攻击者可利用该漏洞获取任何Vine的IP地址、手机号码和注册邮箱等个人敏感信息。
WEB安全漏洞 已有 61164 人围观 ,发现 8 个不明物体
Web安全之Openfire的插件脚本上传漏洞复现
Web安全之Openfire的插件脚本上传漏洞复现
2018-12-04  
一次偶然的机会发现某台Web服务器被黑了之后被植入了挖矿病毒,然后忙活了好久清理完病毒之后就开始思考思考到底是怎么被黑的,俗话说的好死要死得明白。
WEB安全 已有 55132 人围观 ,发现 3 个不明物体
PHP利用PCRE回溯次数限制绕过某些安全限制
PHP利用PCRE回溯次数限制绕过某些安全限制
2018-12-03  
这次 Code-Breaking Puzzles 中我出了一道看似很简单的题目pcrewaf,大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。
WEB安全 已有 134556 人围观 ,发现 8 个不明物体
从插件入手:挖掘WordPress站点的“后入式BUG”
从插件入手:挖掘WordPress站点的“后入式BUG”
2018-12-03  
越是扫不出的地方,越有可能发现有趣的点。而最容易出现非官方,有bug的地方就是插件、自定义插件、第三方功能了。
WEB安全 已有 309910 人围观 ,发现 14 个不明物体
看我如何分析并渗透WebSocket和Socket.io
看我如何分析并渗透WebSocket和Socket.io
2018-12-02  
WebSocket是一种允许浏览器和服务器建立单个TCP连接然后进行全双工异步通信的技术。由于它允许实时更新,而浏览器也无需向后台发送新的HTTP请求,因此WebSocket非常流行。
WEB安全 已有 89212 人围观 ,发现 5 个不明物体
挖洞经验 | HackerOne平台ImageMagick漏洞导致服务器内存信息泄露
挖洞经验 | HackerOne平台ImageMagick漏洞导致服务器内存信息泄露
2018-12-01  
今天我要分享的是关于HackerOne平台GIF图像处理的ImageMagick漏洞(CVE-2017–15277),漏洞很简单,最终也获得了HackerOne官方奖励的$500美金。
WEB安全漏洞 已有 74626 人围观 ,发现 1 个不明物体
Hackerone的一场CTF Writeup
Hackerone的一场CTF Writeup
2018-12-01  
我们从HackerOne的推特中得知这场CTF竞赛,并立即行动了起来。这场CTF竞赛从推特上一张包含二维码的图片开始。
WEB安全 已有 76471 人围观 ,发现 6 个不明物体
挖洞经验 | Facebook商务平台商家管理员账户添加漏洞( $27,500)
挖洞经验 | Facebook商务平台商家管理员账户添加漏洞( $27,500)
2018-11-30  
Facebook商务管理平台(Facebook Business)是一个免费的 Facebook 平台,旨在帮助广告主集成业务的全部 Facebook 营销活动和外部合作伙伴。
WEB安全漏洞 已有 103902 人围观 ,发现 5 个不明物体
WordPress Plugin Ninja Forms 3.3.17 XSS复现与分析
WordPress Plugin Ninja Forms 3.3.17 XSS复现与分析
2018-11-30  
Ninja Forms是WordPress的终极免费表单创建工具。使用简单但功能强大的拖放式表单创建器在几分钟内构建表单。
WEB安全漏洞 已有 513113 人围观 ,发现 2 个不明物体

最新话题

活动预告

css.php