一次通过Fuzz API发现漏洞的旅程
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
骨哥说事公众号首发地
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
第一本,《Fuzzing: Brute Force Vulnerability》,中文译版,名为《模糊测试:强制发掘安全漏洞的利器》,书有些年头了(2007年出版的),但仍然是模糊测试(Fuzz)很不...
【🪐星球专享】 H1最新漏洞披露,Sony为该漏洞支付$12,500赏金 【🕑公众号】最新H1越权漏洞披露,获得15000美元奖励 【🕑公众号】入侵高露洁智能牙刷 【🪐星球专享】 HTTP/2 无限连...
前言 最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS,发现用户的输入在title中展示,那么一般来说就是看能否闭合,我们从下面图中可以看到,输入尖括...
简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...
前言 AI大模型(LLMs) 在很多事情上似乎都特别擅长,为了快速解决传统上需要大量人力才能完成的任务,每天都有人提出该技术的一些‘奇特’用例。 今天的案例来自 Brendan Dolan-Gavit...
背景介绍 今天来分享一位来自叙利亚安全研究员的一个挖洞案例,来看看他是如何将Self-XSS升级为存储型XSS的。 漏洞发现 由于漏洞披露原则,暂将目标网站统称为redacted.com,我们的白帽小...
三月即将过去,积极拥抱四月,希望你一切顺利,以下为你带来3月内容汇总,有错过、漏过的信息记得先马后看哈~ 【🪐星球专享】英文论文:利用GPT实现更好的内核Fuzz 【🪐星球专享】 寻找JS文件泄露的几...
背景介绍 今天来分享一位全职白帽Abdullah Nawaf的故事, 目前他在BugCrowd中排名前 50,P1 漏洞排名 11,主要挖掘 P1 和 P2 漏洞。本文主要讲述了利用子域Fuzz,将多...
背景介绍 今天来分享2位国外白帽子在去年7月份,通过200小时(每天花上4-6小时)黑客挑战赛,最终收获$20,300美元赏金的故事。 选择目标 他们选择的目标是一家著名的大公司,因为该公司在赏金网站...