2023年11月7日
一次通过Fuzz API发现漏洞的旅程
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
37 搜索结果
搜索关键字 "fuzz".
2021年9月15日
推荐4本模糊测试(Fuzz Testing)的相关书籍
第一本,《Fuzzing: Brute Force Vulnerability》,中文译版,名为《模糊测试:强制发掘安全漏洞的利器》,书有些年头了(2007年出版的),但仍然是模糊测试(Fuzz)很不...
2026年1月7日
90%的白帽子都会踩的‘侦察’误区
90%的黑客都栽在这个侦察误区上,你也中了么? "工具越多=结果越好"? 通常的情况是这样的。一个黑客发现了一个目标,比方说 target.com,开始兴奋起来,立刻打开终端开始运...
2025年8月8日
一则图片上传到 GetShell 的故事
一个奇怪的上传处 通过扫描,成功发现一处端点: subfinder -d target.com | httpx -status-code -title -tech https://media-uplo...
2025年7月15日
一则绕过 Cloudflare WAF 实现 XSS 的案例
通过前期侦察,发现一处页面在 HTML 渲染时没有对AgencyId 参数的输入进行有效清理: 但是很不幸设置 iframe 的源会触发 WAF 拦截,在尝试包含<script>和<...
2025年5月20日
Pwn2Own 2025 柏林冬奥会战果一览
前言 为期三天的 Pwn2Own 2025 在德国柏林落下帷幕,漏洞奖金达到 1,078,750 美元 !STAR Labs SG 团队最终赢得 Master of Pwn。该团队最终获得了 320,...
2025年4月12日
WinAFL安装与运行【记录于2022年1月】
环境 系统环境:Windows10 Pro Visual Studio 2019(16) 必须为2019版! 所需工具 版本 下载地址 Visual Studio 2019 16 https://vi...
2025年4月10日
Android 原生组件模糊测试
环境: Ubuntu 20.04 x86/64 AFL++ 下载NDK https://developer.android.com/ndk/downloads 下载后解压,设置环境路径: ~/.bas...
2025年1月17日
$40,000!如何将路径遍历升级为RCE!
前言 本文将向各位讲一讲国外白帽 I& Orwa Atyat 如何成功将有限的路径遍历升级为 RCE 漏洞 ,从而赢得40,000 美刀赏金的故事。 在对目标进行侦察和端口扫描时,白帽小哥发现...