漏洞报告 【MTN Group】表单重复提交 http://hackerone.com/reports/1165223 【MTN Group】XSS漏洞 http://hackerone.com/reports/1091165 【Mail.ru】通过类创建对话框导致存储型XSS http://ha...

http://github.com/UzJu/Cloud-Bucket-Leak-Detection-Tools 文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除

前言 由于小程序的便捷性，越来越多的应用迁移到了了小程序上，由此伴随着小程序上线前的日常渗透测试工作也开始增加。但小程序的测试中经常会遇到数据包被加密了，导致无法进行改包测试。和测...

前言 上篇已经发了一篇回显型SQL注入，SQL剩下的还有报错型、盲注，今天再记一下报错型的流程，仅做参考 正文 1.先通过引号 判断该网站为数字型，payload直接拼接，无需引号闭合，当网站后直接...

漏洞报告 JNDI 反击——H2 数据库控制台中未经身份验证的 RCE http://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/ 挖洞技巧 通过嵌套解析器条件对 XSS ...

漏洞报告 【Reddit】用户名密码暴力破解 http://hackerone.com/reports/1165225 【Reddit】密码重置没有速率限制会导致电子邮件枚举 http://hackerone.com/reports/1425884 【Proctorio】通用跨...

0x01正文 打开网站 先用7kb扫一波目录 哦吼，发现了一堆的目录遍历(绿色的都是)。 这里一个 Log目录十分的显眼，很有可能造成log泄露 okey，如我所料。收获了一个通用中危洞√ 27450-kwvsjna88f...

漏洞报告 【MCUboot】private keys exposed on the GitHub repository http://hackerone.com/reports/1234531 【XVIDEOS】CSRF on delete friend requests - Not protected with CSRF Token htt...

漏洞报告 【U.S. Dept Of Defense】重定向+反射型XSS http://hackerone.com/reports/1406598 【Mail.ru 】#1257091 Угон домена photo-test.gb.ru (возможно) http://hackero...

本文主要介绍谷歌云对象存储攻防的方式 1、存储桶配置错误-公开访问 当创建的存储桶配置了allUsers拥有GCS对象的读取权限时，该存储桶可以被任何用户公开访问 2、Bucket爆破 当不存在时访问会提...

漏洞报告 【Judge.me】 html 注入 http://hackerone.com/reports/1036995 【Flickr 】使用 AWS Cognito API 接管 Flickr 账户 http://hackerone.com/reports/1342088 【MTN Group】注册时邮件内...

云风险百科，搜索 900 多个云安全风险 http://orca.security/resources/cloud-risk-encyclopedia/ Microsoft Security 提供新的多云功能 http://www.microsoft.com/security/blog/2022/02/23/mi...

推荐一个项目， http://github.com/test502git/awvs13_batch_py3 用于对Apache-log4j漏洞进行自查，用的是AWVS14，所以检测效果与覆盖面 都比较好 脚本是增加仅log4j专项 与批量添加功能，还有...

漏洞报告 【Shopify 1,600 USD】Staff who only have apps and channels permission can do a takeover account at the wholesale store (Bypass get invitation link) http://hackerone.com/re...

漏洞报告 【 Gener8】点击劫持更改电子邮件地址 http://hackerone.com/reports/783191 【Nord Security】csrf修改密码 http://hackerone.com/reports/204703 【Zenly】通过 SMS 身份验证流程接...

漏洞报告 【XVIDEOS 】No-Rate limit of current password on delete account endpoint(http://www.xvideos.com/account/close) http://hackerone.com/reports/1392287 【DigitalOcean】Blind X...