LFI -从高危升级为严重
背景介绍 一位国外白帽子正在测试一个VDP程序,经过前期侦查后,他选择了对一个子域进行搜索。 打开Burp拦截请求,其中一个请求成功的引起了白帽小哥的注意。 https://target.tld/ap...
骨哥说事公众号首发地
背景介绍 一位国外白帽子正在测试一个VDP程序,经过前期侦查后,他选择了对一个子域进行搜索。 打开Burp拦截请求,其中一个请求成功的引起了白帽小哥的注意。 https://target.tld/ap...
漏洞描述 漏洞针对 https://redacted.com/anynonexisting URL 端点的 Web 缓存欺骗攻击。 通过操控缓存机制,未经授权的用户可以访问敏感的个人身份信息 (PII...
背景介绍 今天分享国外一位名叫 Bassem M Bazzoun 在 2023 年韩国首尔举行的 Meta Bug 赏金研究人员会议上发现 Facebook 中的双因素身份验证绕过漏洞的故事,最终该白...
技巧 1:活动子域枚举 这是一种非常常见的技术,但许多白帽子依赖于被动子域枚举而不是主动子域枚举,来看看活动子域枚举: 使用活动子域枚举可以通过两种方式执行: A.使用字典列表暴力破解子域:在这种技术...
背景介绍: 参考本文,你可以举一反三来释放Fofa潜能! Shodan是一款备受喜爱和广泛使用的攻击面管理工具。但是你真的会使用它吗?希望本文能对你的漏洞挖掘之路有所帮助。 基础知识: 作为漏洞赏金猎...
背景介绍: 对于漏洞赏金猎人,GitHub 存储库可以发现各种有用的信息,并不是只有开源目标才会出现问题,有时,企业/组织成员及其开源计划会错误地披露可用于对付目标公司的信息。本文将为你提供各种扫描 ...
背景介绍: API 配置错误是指应用程序编程接口 (API) 的设置不当或不安全,这可能包括弱身份验证、缺乏输入验证或不正确的访问控制等问题。 API 配置错误可能使攻击者能够未经授权访问敏感数据或代...
背景介绍: Aquatone是什么? Aquatone 是一种对大量主机上的网站进行可视化检查的工具,可以方便地快速了解基于 HTTP 的攻击面。 工具地址:https://github.com/mi...
背景介绍 今天向各位分享 Wiz Research 发现微软AAD一个常见的错误配置,从而导致多个微软应用程序,甚至包括Bing账户接管的故事。 从Amazon Cognito到Google Fire...