逻辑缺陷之APP任意账号登录
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。前段时间团队接
迪哥讲事
账户接管新思路
某企业src实战
一个$20,000的漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部
从隐藏参数到账户接管
实战|记一次寄生虫站点中的组件Getshell到白嫖day
如何发现domxss
高级 CORS 利用技术
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责
意想不到的账号信息泄露
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的
SRC中自动化查找目录遍历获取赏金
任意用户密码重置
测试swagger未授权的一个神器
无0day复杂利用!挖逻辑纯靠 “肉眼扫描器”?
AI如何用参数污染“突破”顶级WAF
加密数据自动解密神器
SRC实战-挖穿某app
记某次攻防从外到内打穿出局
寻找隐藏资产的方法
用户名枚举到 getshell
最近在测试医院的资产,纯黑盒测试,waf 没加白,ip 没加白,监测到恶意字符就给封了。没得办法,直接飞行模
一些常见key的利用工具
作者主页: https://github.com/richard1230
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)