2022年6月18日
BurpSuite Intruder 自动化测试反射型 XSS
背景介绍 文章来自一位国外名叫Santosh Kumar Sha的印度白帽子,本篇文章中用到的工具如下: 工具列表 Subfinder:https://github.com/projectdiscov...
求知若饥,虚心若愚。
2022年5月24日
Swagger-UI 从XSS到账户接管
背景介绍: 该漏洞已在 2021 年初修复,但是仍然能够在许多公司中利用它,例如Paypal、Atlassian、Microsoft、GitLab、Yahoo等等。 GitLab甚至为后来的存储型XS...
2022年5月10日
通过 JS 文件实现Bypass管理面板
背景介绍: 今天的故事来自一位Zhenwar Hawlery白帽子,他和他的好基友是来自库尔德斯坦的白帽子和漏洞赏金猎人,他们喜欢在 Web 应用程序和移动应用程序中挖掘漏洞。废话不多说,开始我们今天...
2022年5月5日
Ubuntu+Wine+IDA7.6+激活插件
背景介绍: 因某些研究所需,需要在Ubuntu下使用IDA7.6和相关插件,于是做个记录,当然,如果你在Windows下使用,本篇文章可以直接略过了。 环境如下: Ubuntu 20.04 Wine ...
2022年5月2日
[$2222]Bypass WAF
在开始今天的故事之前,首先要感谢一位名叫“凤岐”读者在昨夜的赞赏,骨哥自2013年创建本公众号以来,已经快要10年了,不怕各位笑话,公众号断断续续写了近10年,粉丝数却只有2000不到,昨晚的这次赞赏...
2022年4月20日
如何在Bugcrowd公共项目中找到50多个XSS漏洞
背景介绍: 今天的分享来自一位名为Takshal(tojojo)的白帽子,他是一名来自印度的网络安全研究员和开发人员。他在信息安全行业有着3年以上的经验,同时也有自己的YouTube频道,这也是他的第...
2022年4月19日
【$6000】绕过Apple SSO
背景介绍: 今天的分享来自Stealthy白帽子,这位20岁的白帽小伙子,从2018年起就开始从事漏洞悬赏工作,他的大部分时间都在HackerOne上,并且专门研究Web应用程序漏洞。 漏洞介绍: 漏...
2022年4月2日
Spring4Shell?
首先本文不涉及漏洞的具体复现与POC,如果你想从本文中获得这些信息,恐怕你要失望了! 背景介绍 话说今天一早,骨哥被一位妹纸在微信上直击灵魂的询问道:“能给说说Spring Framework的RCE...
2022年3月29日
VM虚机通过宿主机实现代理跳板
背景介绍: 最近骨哥在研究Fuzz相关的技术,之前看了一段时间的WinAFL,而最近在看AFL++的相关东西,因为要使用Ubuntu系统,故安装了VM虚拟机,然后在各种git clone和下载国外资源...
2022年2月25日
在阅读了220份IDOR漏洞报告后的心得体会
背景介绍: 今天的分享来自国外一位名叫Sm9I的白帽子,他从hackerone中梳理了220份有关IDOR的漏洞报告,花了一周的时间,整理出这份心得体会。 为了便于参考,本文中将通过数字来引用各种漏洞...