2026年1月24日
深埋API端点的掘金宝典
被遗忘的战场 潜藏巨额回报 绝大多数漏洞挖掘者都将目光聚焦在那些显而易见的标靶上:身份验证界面、查询输入框、密码恢复模块。 然而与此同时,另一群人却在测试那些从未在应用程序界面中显露踪迹的API终端节...
API
2025年8月12日
FileJacking – 如何让浏览器文件API成为初始入侵跳板
摘要 通过文件系统 API 的‘走私’技巧 从浏览器直接植入后门文件 直接从浏览器读取、创建、删除文件和文件夹 无 MotW(标记为可能存在危险的内容) 绕过 介绍 文件系统 API 是一种浏览器 A...
2025年4月17日
一个被遗忘的 API 端点让我赚了 $500
“不是总想着找突破口,有时,是在找他们忘记上锁的东西。” 什么是隐藏的 API ? 🚫 未记录(不在 Swagger 或公开文档中) 👻 过时的(由旧应用或开发面板使用) 🤫 被遗忘(意外留在生产环境...
2024年5月26日
AI黑客:ChatGPT中的高级API攻击
背景介绍 许多影响最大的漏洞是无法通过 Burp Suite 的默认规则集捕获,而需要手动测试,本文就是讲述了这样一个的案例。 发现异常 与往常一样,研究人员的调查首先在 Burp Suite 中捕获...
2024年4月22日
利用Auth0错误配置,获得$1600赏金奖励
背景介绍 今天分享一位来自印度的独立安全研究员 Nauman Khan 的故事,他通过Auth0的错误配置,顺利获得1600美元赏金奖励。 关于Auth0 Auth0 是网站和应用程序广泛使用的身份验...
2023年12月12日
挖掘开发环境隐藏的秘密:一次 OAuth 凭证从泄露到利用的旅程
背景介绍 今天和大家分享在挖掘开发环境时遇到的有趣案例,希望可以给你带来一些启发。 1. 寻找目标 起初,在收集了一系列目标网站的子域名后,在其中发现了一个名为 "dev.[example....
2023年11月7日
一次通过Fuzz API发现漏洞的旅程
背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...
