漏洞报告 Facebook 今日最佳：Facebook两个SSRF，6万美金～ http://philippeharewood.com/facebook-ssrf/ 参考：http://www.facebook.com/whitehat/payout_guidelines/ssrf 挖洞技巧 http://git...

常规越权，但主要是发现资产的方式，我认为值得分享。 直接先来漏洞复现 因为漏洞已经修复了，当时漏洞报告也没有截图功能点和页面的样子，凑合着看吧 常规的注册账号，然后登录进去，点击编辑...

漏洞报告 【Node.js 250刀】HTTP Request Smuggling due to accepting space before colon http://hackerone.com/reports/1238709 【Nextcloud】RCE on 17 different Docker containers on your...

前言 数据加密或者是业务加签是我们在进行数据包重放或者是修改数据时，不得不遇到的痛点。总体来说对于数据解密或者业务加签破解的难度是：app>web>wxapp。因为api接口都是相同的，因此...

漏洞报告 POST URL跳转？ 100$ http://hackerone.com/reports/1358977 爆破使用户无法收到2FA验证码导致无法登录 900$ http://hackerone.com/reports/1406495 挖洞技巧 CVE-2022-22536 EXP http...

雷军：不要用战术上的勤奋来掩盖战略上的懒惰。 Micropoor：应当细心地观察，为的是理解。应当努力地理解，为的是行动。应当谨慎地行动，为的是再一次的观察。 基于Micropoor的文章 渗透的本质...

一、引言： 某天在挖掘xss的过程中，本着见框就插的原则，不会轻易放过任何一个可以输入内容的地方。 有些内容输入之后即可显示在页面上，有些内容输入之后会输出到别的系统上，可能是一些后台...

0x01 前言 总结了上一年的内容，整理资料的时候有个去年比较特殊的一场CTF，刚刚好一个流量包，很有意思的一个题目，拿出来跟大家分享一下，，，大佬请绕过，师傅们请多多关照，烦请留个赞或者...

漏洞报告 简单改ID越权250$ http://hackerone.com/reports/1124974 TikTok XSS 6000$ http://hackerone.com/reports/1452375 CVE-2022-21703，grafana跨站请求伪造(CSRF) http://jub0bs.com/pos...

发现之前 在前段时间看到了好像是一个支付宝的漏洞那个人修改了电脑的时间然后可以提前秒杀抢购商品，于是这个洞在弟弟我的心里深深的记住了，于是就有了后面的发现 发现过程 在刚刚加入火线某...

wget http://www.o2oxy.cn/wp-content/uploads/2021/12/1111.zip unzip 1111.zip cd 1111/ java -jar springboot-log4j2_demo.jar --server.port=6631 下载JNDIExploit 工具 http://github.com/...

闲谈：距离上次发的作品已经过去十几天，在这十几天中，也没有停止步伐，也做了一些在找一些信息收集的新方式和新姿势。 补充上次信息收集的新方式： 横向收集：先对domain站进行收集 （1）微信...

漏洞报告 【 HackerOne】静态文件可以通过缓存中毒攻击而无法访问 http://hackerone.com/reports/1181946 【 Exodus】缓存中毒 DoS http://hackerone.com/reports/1173153 挖洞技巧 漏洞赏金猎...

挖洞之捡漏ssrf和log4j的小tips 以发帖为例（通俗易懂） 前言：挖洞要一步一步看，一步一步走 1：咱就是说，发帖 2：然后这个时候宝子们就可以看看有没有请求dnslog 成功（一般情况是没有的，dd...

漏洞报告 Mattermost 错误配置导致的账户劫持 http://hackerone.com/reports/1114347 Zomato fr1.vpn.zomans.com 子域名劫持 http://hackerone.com/reports/1182864 Basecamp Basecamp子域名劫...

漏洞报告 3500$的XSS http://hackerone.com/reports/1410459 导入文档处SSRF5000$ http://hackerone.com/reports/1409727 自动化挖洞捡到1500$ http://hackerone.com/reports/1380121 挖洞技巧 ...