从插件入手:挖掘流行框架的“后入式BUG”
从插件入手:挖掘流行框架的“后入式BUG”
2018-11-23  
任务目标是一个wordpress站点的时候,是否让你感到过头大?wpscan扫了半天,却没有任何有利用价值的bug,这时候就拍拍屁股走人了?在面对大型框架时,我们的入手目标就是“一般工具扫不出、普遍站点不一定有,根据管…
WEB安全漏洞 已有 50048 人围观 ,发现 5 个不明物体
挖洞经验 | 价值$6500美金的Instagram发贴文字说明添加漏洞
挖洞经验 | 价值$6500美金的Instagram发贴文字说明添加漏洞
2018-11-21  
今天我要和大家分享的是一个关于Instagram的漏洞,这个漏洞很有意思,我可以利用它来在其它Instagram用户的发贴中添加描述,最终也获得了Instagram官方$6500美金的奖励。
WEB安全漏洞 已有 63797 人围观 ,发现 6 个不明物体
某行小程序投标测试的思路和坑
某行小程序投标测试的思路和坑
2018-11-21  
最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看,所以本文说点简单的。
WEB安全 已有 144097 人围观 ,发现 6 个不明物体
挖洞经验 |  HackerOne的双因素认证和上报者黑名单绕过漏洞($10,000)
挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞($10,000)
2018-11-20  
今天我要和大家分享的是一个HackerOne相关的漏洞,利用该漏洞,我可以绕过HackerOne漏洞提交时的双因素认证机制(2FA)和赏金项目中(Bug Bounty Program)的上报者黑名单限制。
WEB安全漏洞 已有 59892 人围观 ,发现 7 个不明物体
挖洞经验 | HackerOne安全团队内部处理附件导出漏洞($12,500)
挖洞经验 | HackerOne安全团队内部处理附件导出漏洞($12,500)
2018-11-19  
今天我要和大家分享的是一个和HackerOne平台相关的漏洞,该漏洞在于可以利用HackerOne平台的“Export as.zip”功能,把HackerOne安全团队后台的漏洞处理图片附件导出。
WEB安全漏洞 已有 73741 人围观 ,发现 9 个不明物体
Metinfo6.0.0-6.1.2前台注入漏洞生命线
Metinfo6.0.0-6.1.2前台注入漏洞生命线
2018-11-19  
这个前台注入漏洞存在已久,从MetInfo发布的6.0版本就存在,且后来官方的修复代码,也可以直接绕过。该漏洞直到6.1.3版本才被修复。
WEB安全漏洞 已有 81873 人围观 ,发现 4 个不明物体
恶性木马下载器“幽虫”分析
恶性木马下载器“幽虫”分析
2018-11-19  
2018年下半年开始,360互联网安全中心监控到一批恶性木马下载器一直在更新传播,初步统计,中招机器超过40万台。
WEB安全 已有 58615 人围观 ,发现 4 个不明物体
构造优质上传漏洞Fuzz字典
构造优质上传漏洞Fuzz字典
2018-11-16  
上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。当遇到一个上传点,如何全面的利用以上姿势测试一遍,并快速发现可以成功上传webshell的姿势?
WEB安全 已有 147413 人围观 ,发现 22 个不明物体
一次编码WebShell bypass D盾的分析尝试
一次编码WebShell bypass D盾的分析尝试
2018-11-15  
最近偶然间捕获到了一个webshell的样本经过了4次编码来绕过检测感觉功能还挺强大的,于是就简单分析一下然后再简单的优化了一下发现更nice。
WEB安全 已有 83311 人围观 ,发现 11 个不明物体
从MySQL出发的反击之路
从MySQL出发的反击之路
2018-11-12  
某天看到 lightless 师傅的文章 Read MySQL Client's File,觉得这个「漏洞」真的非常神奇,小小研究了一下具体的利用。
WEB安全漏洞 已有 171947 人围观 ,发现 4 个不明物体
SQLMap Insert注入踩坑记
SQLMap Insert注入踩坑记
2018-11-09  
本篇文章是在做ctf bugku的一道sql insert盲注的题(题目地址:insert盲注)中踩到的坑,觉得还挺有趣的,于是便有了今天的文章,如有纰漏还望大佬们多多指正。
WEB安全 已有 87034 人围观 ,发现 8 个不明物体
研究人员欲公布微软Edge浏览器0-day沙盒逃逸漏洞
研究人员欲公布微软Edge浏览器0-day沙盒逃逸漏洞
2018-11-08  
最近几天,据Twitter昵称为@Yux1xi的安全研究人员透露,他计划公布一个关于微软浏览器的0-day漏洞,该漏洞可以实现针对Edge浏览器的远程代码执行。
WEB安全 已有 44600 人围观 ,发现 2 个不明物体
使用MySQL位函数和运算符进行基于时间的高效SQL盲注
使用MySQL位函数和运算符进行基于时间的高效SQL盲注
2018-11-07  
很多数据库大都易受到基于时间的SQL盲注攻击。但由于各种限制措施,想要利用它们并不容易。
WEB安全 已有 48913 人围观 ,发现 4 个不明物体
Safari信息泄露漏洞分析
Safari信息泄露漏洞分析
2018-11-03  
从某种程度上来说,这个安全问题跟lokihardt在2017年报告的一个 旧漏洞有些相似,只不过利用方式不同。
WEB安全 已有 40647 人围观 ,发现 1 个不明物体
记一次对WebScan的Bypass
记一次对WebScan的Bypass
2018-11-01  
今天测试了一个网站,发现存在360webscan的拦截,于是便开始了一波“bypass”。
WEB安全 已有 182142 人围观 ,发现 26 个不明物体
一种新型的Web缓存欺骗攻击技术
一种新型的Web缓存欺骗攻击技术
2018-10-31  
为了减少WEB响应时延并减小WEB服务器负担,现在WEB缓存技术已经用的非常普遍了,这里介绍一种WEB缓存欺骗攻击技术,针对Paypal有奇效。
WEB安全 已有 120743 人围观 ,发现 18 个不明物体

最新话题

活动预告

css.php