迪哥讲事
用户名枚举到 getshell
最近在测试医院的资产,纯黑盒测试,waf 没加白,ip 没加白,监测到恶意字符就给封了。没得办法,直接飞行模
一些常见key的利用工具
简简单单的致命IDOR
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是之前的一个
巧用多客户端差异性获取敏感信息(斩获3k)
利用CRLF所造成的XSS
记一次实战挖掘
免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌
一款js监控工具
IDOR的一些新思路
子域名模糊测试赢得35,000美元赏金!
从 Cookie 同意到命令执行
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部
IDOR的一些新思路
渗透实战:记一次JP web服务RCE到内网
从swagger未授权到oss存储接管
资产收集神器
接口越权漏洞挖掘
一款js监控神器
实战 | 记一次简单的国外站点小练手
利用JS拿到Shell
挖掘xss中括号被转义的绕过措施
作者主页: https://github.com/richard1230
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)