求知若饥,虚心若愚。

2024年4月14日

五种用来挖掘API端点的方法

简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...

进一步了解
2024年4月14日

网络安全信息差-2024年4月13日

安全工程师因窃取 1200 万美元加密货币被判入狱 3 年 Shakeeb Ahmed, 一名网络安全工程师,被判刑三年,罪名是窃取约1200万美元的加密货币。他被指控攻击了两个加密货币交易所,窃取了...

进一步了解
2024年4月9日

重置密码绕过的N种利用姿势

概述 在挖掘IDOR类漏洞时,经常会遇到站点具有“重置密码”的功能,在重置密码时,我们可以尝试多种绕过方式来检验该功能是否安全。今天分享整理的一系列绕过姿势,你还有哪些奇技淫巧,欢迎在留言区补充~ 基...

进一步了解
2024年4月2日

白帽应如何避免攻击性扫描行为

背景介绍 首先要明白什么是攻击性扫描行为,在漏洞‘狩猎’过程中,研究人员或白帽通常会使用到自动化工具和扫描器,但是扫描的频次和线程需要保持在目标厂商要求的限定范围内,任何超出这些限制的行为都可能被定义...

进一步了解
2024年4月1日

将SelfXSS升级为存储XSS

背景介绍 今天来分享一位来自叙利亚安全研究员的一个挖洞案例,来看看他是如何将Self-XSS升级为存储型XSS的。 漏洞发现 由于漏洞披露原则,暂将目标网站统称为redacted.com,我们的白帽小...

进一步了解
2024年3月28日

2024年一期#3月内容汇总

三月即将过去,积极拥抱四月,希望你一切顺利,以下为你带来3月内容汇总,有错过、漏过的信息记得先马后看哈~ 【🪐星球专享】英文论文:利用GPT实现更好的内核Fuzz 【🪐星球专享】 寻找JS文件泄露的几...

进一步了解