漏洞 »

“微软超级漏洞”?关于CVE-2020-0601的官方回复
“微软超级漏洞”?关于CVE-2020-0601的官方回复
2020-01-15  
在微软例行公布了的1 月的补丁更新列表中,有一个漏洞引起了大家的高度关注:一个位于 CryptoAPI.dll 椭圆曲线密码 ( ECC ) 证书的验证绕过漏洞——CVE-2020-0601。
漏洞 已有 88170 人围观
Hessian反序列化RCE漏洞复现及分析
Hessian反序列化RCE漏洞复现及分析
2020-01-14  
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。
WEB安全漏洞 已有 25512 人围观 ,发现 2 个不明物体
记一次Redis+Getshell经验分享
记一次Redis+Getshell经验分享
2020-01-12  
当我们接到一个授权渗透测试的时候,常规漏洞如注入、文件上传等尝试无果后,扫描端口可能会发现意外收获。
漏洞 已有 100874 人围观 ,发现 12 个不明物体
挖洞经验 | 利用越权漏洞窃取Airbnb房东的收款资金
挖洞经验 | 利用越权漏洞窃取Airbnb房东的收款资金
2020-01-09  
今天分享的Writeup是作者在2017年发现,在最近披露的Airbnb平台漏洞,漏洞类型为越权(IDOR)。
漏洞 已有 64064 人围观 ,发现 6 个不明物体
Python代码审计实战案例总结之CRLF和任意文件读取
Python代码审计实战案例总结之CRLF和任意文件读取
2020-01-09  
目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。
WEB安全漏洞 已有 53963 人围观 ,发现 9 个不明物体
抖音海外版TikTok修复多个严重安全漏洞
抖音海外版TikTok修复多个严重安全漏洞
2020-01-09  
抖音海外版TikTok作为一款成功冲出国门,走到全球的现象级产品,2019年它在全球APP下载量排名第三,在成功的同时,这也引来了繁华势力的眼红,美国海军、陆军纷纷表示不得安装该应用。
漏洞 已有 57258 人围观 ,发现 3 个不明物体
挖洞经验 | 在账户注册和意见反馈处发现越权漏洞(IDOR)
挖洞经验 | 在账户注册和意见反馈处发现越权漏洞(IDOR)
2020-01-08  
今天分享几点关于越权漏洞(IDOR)的发现经验,这类型漏洞通常发生在Web应用提供给用户基于输入的对象中,漏洞造成的影响将会致使攻击者可以绕过授权限制,访问到目标系统内其它不应该被访问到的资源或数据。
WEB安全漏洞 已有 44143 人围观 ,发现 3 个不明物体
挖洞经验 | 用空字节(Null Byte)触发内存泄露的4万美金漏洞
挖洞经验 | 用空字节(Null Byte)触发内存泄露的4万美金漏洞
2020-01-07  
作为前言,当我在7月底发现本文中的漏洞时,我还不知道有“空字节溢出”这种类型的安全问题。我仅只是对一个标准Web应用的用户输入点进行了Fuzzing测试,就发现了这么一个有意思的漏洞。
WEB安全漏洞 已有 84850 人围观 ,发现 10 个不明物体
挖洞经验 | Firefox for iOS浏览器的二维码扫码XSS漏洞
挖洞经验 | Firefox for iOS浏览器的二维码扫码XSS漏洞
2020-01-06  
在手机中,我们通常访问一个网站的做法是打开浏览器在地址栏中输入网站地址,一般来说这样的方法有些烦人,所以,有些网站访问对象通常也会生成一个二维码图片,方便用户直接扫码访问。
WEB安全漏洞 已有 48814 人围观 ,发现 3 个不明物体
手把手带你利用SQLmap结合OOB技术实现音速盲注
手把手带你利用SQLmap结合OOB技术实现音速盲注
2020-01-06  
通过sqlmap神器通过OOB 把漫长几个小时的盲注的时间,缩短到了几秒。这篇文章就是把这些东西记录下来,并将具体的实现过程详细步骤分享给大家。
WEB安全工具 已有 101306 人围观 ,发现 33 个不明物体
挖洞经验 | 在密码重置请求包中添加X-Forwarded-Host实现受害者账户完全劫持
挖洞经验 | 在密码重置请求包中添加X-Forwarded-Host实现受害者账户完全劫持
2020-01-05  
今天分享的这篇Writeup为作者通过利用目标网站“忘记密码”功能,在重置密码请求发包中添加X-Forwarded-Host主机信息,欺骗目标网站把重置密码的链接导向到自己的服务器,从而实现对受害者账户的完全劫持。
漏洞 已有 77265 人围观 ,发现 11 个不明物体
挖洞经验 | 通过Vimeo的文件上传功能发现其SSRF漏洞($5000)
挖洞经验 | 通过Vimeo的文件上传功能发现其SSRF漏洞($5000)
2019-12-30  
本文分享的是视频分享网站Vimeo的一个SSRF漏洞,作者通过Vimeo上传功能中Vimeo分次读取部份文件流的机制发现了该漏洞,漏洞最终获得了Vimeo官方$5,000美金奖励。
WEB安全漏洞 已有 56716 人围观 ,发现 9 个不明物体
谈高效漏洞挖掘之Fuzzing的艺术
谈高效漏洞挖掘之Fuzzing的艺术
2019-12-30  
漏洞挖掘/黑盒测试过程中的遇到过的一些fuzz技术思想有必要借用我遇到过的实战中的例子来归纳总结下,通过实例对fuzz的思想进行展开。
WEB安全漏洞 已有 160460 人围观 ,发现 20 个不明物体
挖洞经验 | 如何发现更多的IDOR漏洞(越权漏洞)
挖洞经验 | 如何发现更多的IDOR漏洞(越权漏洞)
2019-12-29  
我非常喜欢搞IDOR漏洞,它通常被称为不安全的直接对象引用或是越权,一般来说它的发现手段相对简单,利用方式也不太难,但是对网站业务的危害影响却比较严重。
WEB安全漏洞 已有 58346 人围观 ,发现 3 个不明物体
挖洞经验 | 利用Instagram版权功能构造CSRF漏洞删除其他用户文件
挖洞经验 | 利用Instagram版权功能构造CSRF漏洞删除其他用户文件
2019-12-29  
最近,我注意到Instagram增加了大量的版权说明部分,其中声称,当用户上传到Instagram的媒体文件侵犯了其他地方的知识版权后,就会显示一个通知反映媒体文件的版权上诉信息,之后Instagram会自动删除该文件。
WEB安全漏洞 已有 34997 人围观 ,发现 4 个不明物体
挖洞经验 | AirDoS攻击能远程让附近的iPhone或iPad设备无法使用
挖洞经验 | AirDoS攻击能远程让附近的iPhone或iPad设备无法使用
2019-12-28  
如果你一走进某个房间就能让里面的所有iPhone或iPad设备无法使用,会怎么样?是不是听起来非常邪恶?有什么好的方法让那些老是低头刷苹果手机的人停下来?
漏洞系统安全 已有 43757 人围观 ,发现 1 个不明物体

最新话题

活动预告

css.php