快速发现未授权页面及SQL注入漏洞,获得$1500奖励
背景介绍 今天分享一个国外白帽子如何发现未授权访问页面以及SQL注入漏洞的故事。他发现这两处漏洞并没有花费太多的时间,而使用到的工具也是大家熟知的以下几款: Subfinder Httpx Wayba...
骨哥说事公众号首发地
背景介绍 今天分享一个国外白帽子如何发现未授权访问页面以及SQL注入漏洞的故事。他发现这两处漏洞并没有花费太多的时间,而使用到的工具也是大家熟知的以下几款: Subfinder Httpx Wayba...
背景介绍 去年,国外一位白帽子在 Chrome 中发现了同源策略 (SOP) 绕过,该漏洞允许攻击者泄露另一个窗口导航历史记录的完整 URL。 虽然可以进行 cross-origin 攻击,但只有当两...
背景介绍 本文将分享国外一位白帽子对于多重身份验证功能实施渗透测试时的一些经验,希望能对你有所启发。 什么GraphQL? GraphQL 是 API 的一种查询语言,允许客户端准确请求他们需要的数据...
背景介绍 在服务器中,当从攻击者指定的链接解析视频时,视频标题中包含的恶意Payload可触发 XSS 攻击,从而允许执行任意 Javascript 代码。 环境说明 产品:Office Word,包...
背景介绍 一位国外白帽子正在测试一个VDP程序,经过前期侦查后,他选择了对一个子域进行搜索。 打开Burp拦截请求,其中一个请求成功的引起了白帽小哥的注意。 https://target.tld/ap...
漏洞描述 漏洞针对 https://redacted.com/anynonexisting URL 端点的 Web 缓存欺骗攻击。 通过操控缓存机制,未经授权的用户可以访问敏感的个人身份信息 (PII...
背景介绍 首先什么是 HTTP 请求走私?Portswigger 网站其实对 HTTP 请求走私进行过非常详细的说明: https://portswigger.net/web-security/req...
背景介绍 今天的故事分享来自一位名叫 Anudeep Vysyaraju 的国外白帽子。这位白帽子前段时间利用LinkedIn网站的漏洞,成功‘白嫖’了Premium会员资格。 关于Linkedln ...
背景介绍 国外一名白帽子(Bharat Singh)在渗透测试过程中发现一处 IDOR 漏洞,该网站因为未验证请求正文中的用户输入,从而导致可以获得超级管理员的访问权限,让我们开始今天的故事分享。 漏...
背景介绍 随着 AI 大语言模型的火爆,其安全性也受到了安全人员的关注。最近国外一位安全研究人员将目前 AI Prompt 可能存在的安全风险进行了梳理,并贴心的整理成了 PDF,让我们一起来看看文档...