H1漏洞报告 Ruby OS Command Injection in '/lib/un.rb -- Utilities to replace common UNIX commands in Makefiles etc' Gitlab [stored XSS in custom emoji](tored XSS in custom emoji) St...

漏洞报告 【Flickr 500刀】critical server misconfiguration lead to access to any user sensitive data which include user email and password http://hackerone.com/reports/1365738 【Git...

前言 承接第一篇CTF流量分析，中间涉及部分知识内容，顺便自己再熟悉一遍，常规CTF或者说工控流量分析用到的工具wireshark之外似乎不怎涉及，，， 协议 TCP协议 TCP(Transmission Control Proto...

漏洞报告 【Shopify 500刀】Senseitive data Related to Shopify Host -> http://shopify.zendesk.com/ http://hackerone.com/reports/1298809 【Shopify 5000刀】Blog posts atom feed of a...

使用开源的 Kubernetes 漏洞扫描和测试 http://www.conjur.org/blog/tutorial-kubernetes-vulnerability-scanning-testing-with-open-source/ 云原生——容器和应用安全运营实践思考 http://sec...

web漏洞挖掘指南 CSRF跨站请求伪造 一、CSRF的漏洞原理以及攻击过程 顾名思义，CSRF跨站请求伪造是一种伪造受害者的请求以达成某种目的的攻击手法，本质上我将其理解为攻击者像操控木偶一样让受...

前言 上篇已经发了一篇回显型SQL注入，SQL剩下的还有报错型、盲注，今天再记一下报错型的流程，仅做参考 正文 1.先通过引号 判断该网站为数字型，payload直接拼接，无需引号闭合，当网站后直接...

挖洞技巧 Practical HTTP Header Smuggling: Sneaking Past Reverse Proxies to Attack AWS and Beyond http://www.intruder.io/research/practical-http-header-smuggling Subdomain Enumerati...

事情发生的背景是内部项目上线前的安全测试，利用wappalyzer看了一下，前端采用VUE框架写的，后端采用的是JAVA。 话不多说，开干，所有功能全部点一遍看看先，点击创建价值观。 这里有个图片上...

0x00 威胁情报的定义: 我个人认为挖威胁情报漏洞就好像是一个侦探一样，对于不是从事威胁情报方向的大众而言，首先应该需要看下定义：From Gartner——威胁情报是基于证据的知识，包括上下文、...

漏洞报告 【Imgur】密码无长度 http://hackerone.com/reports/1411363 【Mail.ru 】子域接管 http://hackerone.com/reports/1348504 【Lark Technologies】能够使用 Lark 的 Compose Email 功能...

今天阅读了两篇文章: 如何从外围进入各大公司内网 @boooooom http://zone.huoxian.cn/d/588-at-boooooom Github敏感信息泄露监控 @feei http://zone.huoxian.cn/d/590-github-at-feei 从中得知...

漏洞报告 【Azbuka Vkusa 】 未经授权访问 http://hackerone.com/reports/963161 【Azbuka Vkusa 】重定向（基于 DOM） http://hackerone.com/reports/958864 挖洞技巧 从盲打 SSRF漏洞到发现一...

漏洞报告 【MariaDB】Path Traversal CVE-2021-26086 CVE-2021-26085 http://hackerone.com/reports/1369288 【Logitech】clickjacking on deleting user's clips [http://crossclip.com/clips]...

漏洞报告 【 Recorded Future】Dom Xss 漏洞 http://hackerone.com/reports/1448616 【 U.S. Dept Of Defense】ADF Faces 中的错误设置导致信息泄露 http://hackerone.com/reports/1422641 【 U...

0x00 前言 续接上文《浅谈红队中的外网信息收集（连载第一篇）》 本文将聊一聊红队中的打点。 受限于个人水平，文中难免会出现错误或者描述不当的地方，还望各位在评论处指出，望谅解。 0x01 打...