骨哥

2024年4月15日

记一次XSS绕过的经历

前言 最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS,发现用户的输入在title中展示,那么一般来说就是看能否闭合,我们从下面图中可以看到,输入尖括...

进一步了解
2024年4月14日

五种用来挖掘API端点的方法

简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...

进一步了解
2024年4月14日

网络安全信息差-2024年4月13日

安全工程师因窃取 1200 万美元加密货币被判入狱 3 年 Shakeeb Ahmed, 一名网络安全工程师,被判刑三年,罪名是窃取约1200万美元的加密货币。他被指控攻击了两个加密货币交易所,窃取了...

进一步了解
2024年4月9日

重置密码绕过的N种利用姿势

概述 在挖掘IDOR类漏洞时,经常会遇到站点具有“重置密码”的功能,在重置密码时,我们可以尝试多种绕过方式来检验该功能是否安全。今天分享整理的一系列绕过姿势,你还有哪些奇技淫巧,欢迎在留言区补充~ 基...

进一步了解
2024年4月2日

白帽应如何避免攻击性扫描行为

背景介绍 首先要明白什么是攻击性扫描行为,在漏洞‘狩猎’过程中,研究人员或白帽通常会使用到自动化工具和扫描器,但是扫描的频次和线程需要保持在目标厂商要求的限定范围内,任何超出这些限制的行为都可能被定义...

进一步了解