PHP反序列化漏洞入門
PHP反序列化漏洞入門
2020-01-01  
序列化就是將一個對象轉換成字符串。字符串包括 屬性名 屬性值 屬性類型和該對象對應的類名。反序列化則相反將字符串重新恢復成對象。
WEB安全 已有 4370 人圍觀
挖洞經驗 | 通過Vimeo的文件上傳功能發現其SSRF漏洞($5000)
挖洞經驗 | 通過Vimeo的文件上傳功能發現其SSRF漏洞($5000)
2019-12-30  
本文分享的是視頻分享網站Vimeo的一個SSRF漏洞,作者通過Vimeo上傳功能中Vimeo分次讀取部份文件流的機制發現了該漏洞,漏洞最終獲得了Vimeo官方$5,000美金獎勵。
WEB安全漏洞 已有 30914 人圍觀 ,發現 7 個不明物體
談高效漏洞挖掘之Fuzzing的藝術
談高效漏洞挖掘之Fuzzing的藝術
2019-12-30  
漏洞挖掘/黑盒測試過程中的遇到過的一些fuzz技術思想有必要借用我遇到過的實戰中的例子來歸納總結下,通過實例對fuzz的思想進行展開。
WEB安全漏洞 已有 88026 人圍觀 ,發現 18 個不明物體
挖洞經驗 | 如何發現更多的IDOR漏洞(越權漏洞)
挖洞經驗 | 如何發現更多的IDOR漏洞(越權漏洞)
2019-12-29  
我非常喜歡搞IDOR漏洞,它通常被稱為不安全的直接對象引用或是越權,一般來說它的發現手段相對簡單,利用方式也不太難,但是對網站業務的危害影響卻比較嚴重。
WEB安全漏洞 已有 33151 人圍觀 ,發現 3 個不明物體
挖洞經驗 | 利用Instagram版權功能構造CSRF漏洞刪除其他用戶文件
挖洞經驗 | 利用Instagram版權功能構造CSRF漏洞刪除其他用戶文件
2019-12-29  
最近,我注意到Instagram增加了大量的版權說明部分,其中聲稱,當用戶上傳到Instagram的媒體文件侵犯了其他地方的知識版權后,就會顯示一個通知反映媒體文件的版權上訴信息,之后Instagram會自動刪除該文件。
WEB安全漏洞 已有 22492 人圍觀 ,發現 3 個不明物體
[HTB]
[HTB]“Heist”靶機滲透詳細思路
2019-12-29  
今天我們來看一下hackthebox里的一個靶機“Heist”,直接開始滲透。
WEB安全 已有 26158 人圍觀 ,發現 3 個不明物體
由HTTPS抓包引發的一系列思考
由HTTPS抓包引發的一系列思考
2019-12-26  
對于使用HTTPS協議的站點,在BurpSuite中攔截到的數據包為何也是“明文傳輸”?
WEB安全 已有 108553 人圍觀 ,發現 40 個不明物體
從0開始入門Chrome Ext安全(二):安全的Chrome Ext
從0開始入門Chrome Ext安全(二):安全的Chrome Ext
2019-12-26  
在2019年初,微軟正式選擇了Chromium作為默認瀏覽器,并放棄edge的發展。并在19年4月8日,Edge正式放出了基于Chromium開發的Edge Dev瀏覽器,并提供了兼容Chrome Ext的配套插件管理。
WEB安全漏洞 已有 32554 人圍觀 ,發現 1 個不明物體
代碼審計思路討論
代碼審計思路討論
2019-12-25  
文章主要是寫下我自己在代碼審計的時候所思所想,主要是寫出了審計SQL,XSS,CSRF,文件包含漏洞的思路。
WEB安全 已有 55438 人圍觀 ,發現 5 個不明物體
挖洞經驗 | 一個非常簡單的Instagram邏輯漏洞($XXXX)
挖洞經驗 | 一個非常簡單的Instagram邏輯漏洞($XXXX)
2019-12-24  
本文分享的是作者通過普通瀏覽就發現的Instagram的一個邏輯漏洞,漏洞非常非常非常簡單,最終該漏洞獲得了Facebook官方$XXXX的獎勵和榜單致謝。
WEB安全漏洞 已有 79725 人圍觀 ,發現 22 個不明物體
挖洞經驗 | 利用捐款功能形成重放攻擊實現Facebook身份認證繞過分析
挖洞經驗 | 利用捐款功能形成重放攻擊實現Facebook身份認證繞過分析
2019-12-20  
該篇Writeup是利用Facebook捐款功能形成身份驗證重放攻擊,實現Facebook賬戶雙因素認證(2FA)繞過的漏洞,原因在于Facebook在URL會話中加入的身份認證措施不夠完善。
WEB安全漏洞 已有 54812 人圍觀 ,發現 1 個不明物體
記一次IIS劫持處置
記一次IIS劫持處置
2019-12-18  
晚上十一點四十,剛準備休息,收到朋友電話,其一個站點被入侵篡改,導致某web接口異常,幫忙遠程處理。
WEB安全 已有 293489 人圍觀 ,發現 19 個不明物體
挖洞經驗 | 用IP輪換+暴力猜解禁用未確認的Facebook賬戶
挖洞經驗 | 用IP輪換+暴力猜解禁用未確認的Facebook賬戶
2019-12-16  
本文分享的是通過IP輪換結合暴力破解方法禁用Facebook新創建的未確認用戶。
WEB安全漏洞 已有 79133 人圍觀 ,發現 8 個不明物體
挖洞經驗 | 百萬用戶個人信息泄露漏洞
挖洞經驗 | 百萬用戶個人信息泄露漏洞
2019-12-15  
今天分享的信息泄露漏洞涉及兩家大公司的網站,出于隱私保密原因就不具體標明公司名稱,漏洞導致將近百萬用戶的個人醫療數據PII和公司合作方信息存在泄露風險。
WEB安全漏洞 已有 87013 人圍觀 ,發現 6 個不明物體
挖洞經驗 | 利用graph.facebook.com中的反射型XSS實現Facebook賬戶劫持
挖洞經驗 | 利用graph.facebook.com中的反射型XSS實現Facebook賬戶劫持
2019-12-14  
本文分享的是graph.facebook.com中存在的反射型XSS漏洞,攻擊者利用該漏洞可以構造惡意鏈接引誘受害者訪問,添加賬戶綁定郵箱或手機號,從而實現對受害者Facebook賬戶的劫持。
WEB安全漏洞 已有 51615 人圍觀 ,發現 3 個不明物體
Python代碼審計實戰案例總結之SQL和ORM注入
Python代碼審計實戰案例總結之SQL和ORM注入
2019-12-13  
Python代碼審計方法多種多樣,但是總而言之是根據前人思路的遷移融合擴展而形成。目前Python代碼審計思路,呈現分散和多樣的趨勢。
WEB安全漏洞 已有 90379 人圍觀 ,發現 4 個不明物體

最新話題

活動預告

css.php 什么app能玩二人麻将