2024年5月26日
AI黑客:ChatGPT中的高级API攻击
背景介绍 许多影响最大的漏洞是无法通过 Burp Suite 的默认规则集捕获,而需要手动测试,本文就是讲述了这样一个的案例。 发现异常 与往常一样,研究人员的调查首先在 Burp Suite 中捕获...
94 搜索结果
搜索关键字 "API".
2024年4月14日
五种用来挖掘API端点的方法
简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...
2023年11月7日
一次通过Fuzz API发现漏洞的旅程
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
2023年10月17日
CVE-2022-4908:使用导航 API 绕过 Chrome SOP
背景介绍 去年,国外一位白帽子在 Chrome 中发现了同源策略 (SOP) 绕过,该漏洞允许攻击者泄露另一个窗口导航历史记录的完整 URL。 虽然可以进行 cross-origin 攻击,但只有当两...
2024年11月14日
已修复漏洞?如何绕过并再次利用!
前言 在查看某个披露的漏洞报告时,白帽小哥发现该漏洞允许攻击者在电子邮件更改过程中绕过所需的验证步骤,在了解了漏洞的形成以及绕过方法后,小哥最终发现了新的绕过方法,究竟是怎样绕过的,让我们一同来看看吧...
2024年10月28日
JS利用-2024至尊版
常用工具列表 hakrawler — 简单、快速的网络爬虫,旨在轻松、快速地发现网络应用程序中的端点和资产 crawley——用 Golang 编写的快速、功能丰富的 unix 方式网络抓取/爬虫 k...
2024年10月22日
【$20,000】通过 DevTools 实现 Chrome 浏览器沙箱逃逸
前言 本文将描述国外白帽小哥如何发现 CVE-2024-6778 和 CVE-2024-5836 漏洞,从而允许从浏览器扩展插件中逃逸沙箱(只需与用户稍作交互)。最终谷歌为白帽小哥发现的漏洞支付了 2...
2024年10月18日
发现Facebook SSRF,收获31500美元赏金的故事【2】
书接上回,既然知道 MicroStrategy Web SDK 托管在 Facebook 的生产服务器上。 而 MicroStrategy Web SDK 又是用 Java 编程语言编写的,那么就继续...
2024年10月1日
如何远程控制起亚汽车
前言 2024 年 6 月 11 日,研究人员在起亚车辆中发现了一组漏洞,仅使用车牌即可远程控制关键功能。 攻击可以在大约 30 秒内在任何配备硬件的车辆上远程执行,无论该车辆是否拥有有效的 Kia ...