2025年4月17日
一个被遗忘的 API 端点让我赚了 $500
“不是总想着找突破口,有时,是在找他们忘记上锁的东西。” 什么是隐藏的 API ? 🚫 未记录(不在 Swagger 或公开文档中) 👻 过时的(由旧应用或开发面板使用) 🤫 被遗忘(意外留在生产环境...
127 搜索结果
搜索关键字 "API".
2025年3月25日
利用 API 和硬件黑客技术攻克数百万台智能电子秤
前言 国外白帽小哥在一次度假期间,注意到酒店健身房的一台电子秤屏幕上有一个奇怪的图标。 这是一个 WiFi 图标,人们决定将体重计连接到互联网是一个好主意,通过亚马逊搜索,可以看到大量设备带有 WiF...
2024年5月26日
AI黑客:ChatGPT中的高级API攻击
背景介绍 许多影响最大的漏洞是无法通过 Burp Suite 的默认规则集捕获,而需要手动测试,本文就是讲述了这样一个的案例。 发现异常 与往常一样,研究人员的调查首先在 Burp Suite 中捕获...
2024年4月14日
五种用来挖掘API端点的方法
简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...
2023年11月7日
一次通过Fuzz API发现漏洞的旅程
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
2023年10月17日
CVE-2022-4908:使用导航 API 绕过 Chrome SOP
背景介绍 去年,国外一位白帽子在 Chrome 中发现了同源策略 (SOP) 绕过,该漏洞允许攻击者泄露另一个窗口导航历史记录的完整 URL。 虽然可以进行 cross-origin 攻击,但只有当两...
2025年6月30日
2025 Log4Shell 利用指南
Log4Shell 是一种针对 Log4J Apache 日志软件的注入式攻击,已经对全球数千家公司造成影响。 尽管各组织都在努力修补系统中的这一关键漏洞,但在 2025 年运行的一些网络服务仍然容易...
2025年6月24日
从 JS 文件到 HTML 注入
前言 目标网站是一家使用AI,机器学习和数据工具来帮助企业解决问题的公司。 他们通过云平台提供智能解决方案来与医疗保健,金融和零售等行业合作。 漏洞挖掘 像往常一样,白帽小哥使用了多种工具进行子域枚举...
2025年6月12日
【CVE-2025-32711】首个AI“0 点击”漏洞揭秘–如何利用微软 365 Copilot 泄露敏感信息
背景介绍 据国外 Aim Security 称 ,微软修补了其 Microsoft 365 Copilot 检索增强生成 (RAG) 工具中的一个“零点击”漏洞,该漏洞会导致用户敏感数据泄露。 漏洞编...