漏洞 »

挖洞经验 | 通过Vimeo的文件上传功能发现其SSRF漏洞($5000)
挖洞经验 | 通过Vimeo的文件上传功能发现其SSRF漏洞($5000)
2019-12-30  
本文分享的是视频分享网站Vimeo的一个SSRF漏洞,作者通过Vimeo上传功能中Vimeo分次读取部份文件流的机制发现了该漏洞,漏洞最终获得了Vimeo官方$5,000美金奖励。
WEB安全漏洞 已有 60377 人围观 ,发现 9 个不明物体
谈高效漏洞挖掘之Fuzzing的艺术
谈高效漏洞挖掘之Fuzzing的艺术
2019-12-30  
漏洞挖掘/黑盒测试过程中的遇到过的一些fuzz技术思想有必要借用我遇到过的实战中的例子来归纳总结下,通过实例对fuzz的思想进行展开。
WEB安全漏洞 已有 166629 人围观 ,发现 20 个不明物体
挖洞经验 | 如何发现更多的IDOR漏洞(越权漏洞)
挖洞经验 | 如何发现更多的IDOR漏洞(越权漏洞)
2019-12-29  
我非常喜欢搞IDOR漏洞,它通常被称为不安全的直接对象引用或是越权,一般来说它的发现手段相对简单,利用方式也不太难,但是对网站业务的危害影响却比较严重。
WEB安全漏洞 已有 61682 人围观 ,发现 3 个不明物体
挖洞经验 | 利用Instagram版权功能构造CSRF漏洞删除其他用户文件
挖洞经验 | 利用Instagram版权功能构造CSRF漏洞删除其他用户文件
2019-12-29  
最近,我注意到Instagram增加了大量的版权说明部分,其中声称,当用户上传到Instagram的媒体文件侵犯了其他地方的知识版权后,就会显示一个通知反映媒体文件的版权上诉信息,之后Instagram会自动删除该文件。
WEB安全漏洞 已有 37534 人围观 ,发现 4 个不明物体
挖洞经验 | AirDoS攻击能远程让附近的iPhone或iPad设备无法使用
挖洞经验 | AirDoS攻击能远程让附近的iPhone或iPad设备无法使用
2019-12-28  
如果你一走进某个房间就能让里面的所有iPhone或iPad设备无法使用,会怎么样?是不是听起来非常邪恶?有什么好的方法让那些老是低头刷苹果手机的人停下来?
漏洞系统安全 已有 48032 人围观 ,发现 1 个不明物体
从0开始入门Chrome Ext安全(二):安全的Chrome Ext
从0开始入门Chrome Ext安全(二):安全的Chrome Ext
2019-12-26  
在2019年初,微软正式选择了Chromium作为默认浏览器,并放弃edge的发展。并在19年4月8日,Edge正式放出了基于Chromium开发的Edge Dev浏览器,并提供了兼容Chrome Ext的配套插件管理。
WEB安全漏洞 已有 47013 人围观 ,发现 2 个不明物体
挖洞经验 | 一个非常简单的Instagram逻辑漏洞($XXXX)
挖洞经验 | 一个非常简单的Instagram逻辑漏洞($XXXX)
2019-12-24  
本文分享的是作者通过普通浏览就发现的Instagram的一个逻辑漏洞,漏洞非常非常非常简单,最终该漏洞获得了Facebook官方$XXXX的奖励和榜单致谢。
WEB安全漏洞 已有 97997 人围观 ,发现 23 个不明物体
挖洞经验 | 700美金的WordPress Dos漏洞CVE-2018-6389分析
挖洞经验 | 700美金的WordPress Dos漏洞CVE-2018-6389分析
2019-12-23  
本文分享的Writeup是关于WordPress的DoS通杀漏洞CVE-2018-6389,该漏洞影响3.x至4.x所有版本的WordPress程序,作者针对该漏洞对目标网站进行了测试验证,从而获得了$700的漏洞赏金。
漏洞 已有 68713 人围观 ,发现 3 个不明物体
挖洞经验 | 利用捐款功能形成重放攻击实现Facebook身份认证绕过分析
挖洞经验 | 利用捐款功能形成重放攻击实现Facebook身份认证绕过分析
2019-12-20  
该篇Writeup是利用Facebook捐款功能形成身份验证重放攻击,实现Facebook账户双因素认证(2FA)绕过的漏洞,原因在于Facebook在URL会话中加入的身份认证措施不够完善。
WEB安全漏洞 已有 65045 人围观 ,发现 1 个不明物体
SEED:缓冲区溢出漏洞实验
SEED:缓冲区溢出漏洞实验
2019-12-19  
本文是基于美国雪城大学的seed实验所做的缓冲区溢出实验,笔者在进行实验的时候参考了网上已有的部分博客,但是发现存在部分细节没有详细解释,导致实验过程中难以复现上述攻击。
漏洞系统安全 已有 54199 人围观 ,发现 3 个不明物体
CVE-2019-17498:libssh2整形溢出漏洞分析
CVE-2019-17498:libssh2整形溢出漏洞分析
2019-12-18  
该漏洞并不是一个Openssh漏洞,所以它不会影响ssh。Libssh2是一个客户端C代码库,它能够帮助应用程序与SSH服务器建立连接。
漏洞系统安全 已有 66516 人围观 ,发现 2 个不明物体
TP-Link Archer系列路由器漏洞可使Admin账户密码保护失效
TP-Link Archer系列路由器漏洞可使Admin账户密码保护失效
2019-12-17  
Internet路由器是连接我们工作,服务和休闲的无所不在的设备,已经成为每个家庭,企业和公共场所不可或缺的一部分。尽管它们对于我们与世界的连接至关重要,但它们却是我们每天使用的最不安全的设备之一。
漏洞终端安全 已有 63278 人围观 ,发现 1 个不明物体
挖洞经验 | 用IP轮换+暴力猜解禁用未确认的Facebook账户
挖洞经验 | 用IP轮换+暴力猜解禁用未确认的Facebook账户
2019-12-16  
本文分享的是通过IP轮换结合暴力破解方法禁用Facebook新创建的未确认用户。
WEB安全漏洞 已有 92460 人围观 ,发现 8 个不明物体
挖洞经验 | 百万用户个人信息泄露漏洞
挖洞经验 | 百万用户个人信息泄露漏洞
2019-12-15  
今天分享的信息泄露漏洞涉及两家大公司的网站,出于隐私保密原因就不具体标明公司名称,漏洞导致将近百万用户的个人医疗数据PII和公司合作方信息存在泄露风险。
WEB安全漏洞 已有 100565 人围观 ,发现 6 个不明物体
挖洞经验 | 利用graph.facebook.com中的反射型XSS实现Facebook账户劫持
挖洞经验 | 利用graph.facebook.com中的反射型XSS实现Facebook账户劫持
2019-12-14  
本文分享的是graph.facebook.com中存在的反射型XSS漏洞,攻击者利用该漏洞可以构造恶意链接引诱受害者访问,添加账户绑定邮箱或手机号,从而实现对受害者Facebook账户的劫持。
WEB安全漏洞 已有 60262 人围观 ,发现 3 个不明物体
Python代码审计实战案例总结之SQL和ORM注入
Python代码审计实战案例总结之SQL和ORM注入
2019-12-13  
Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。
WEB安全漏洞 已有 105020 人围观 ,发现 5 个不明物体
  • 最新评论
  • 亮了
    Loading...

最新话题

活动预告

css.php