RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

某官网SQL注入bypass某云盾waf

在某次对单位官网的渗透测试中发现存在SQL注入,存在某云盾waf,研究后成功手注绕过,并得到数据。

  • 23
  • 26
  • Yi1StaR
  • 发布于 2026-02-04 10:00:02
  • 阅读 ( 5052 )

【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈

案例挑选以往攻防、SRC、渗透项目报告有启发性报告形成文章供各位读者师傅学习,漏洞思路并不局限于接口测试,利用现有信息打出组合拳也是不错的选择

【补天白帽黑客城市沙龙-杭州站】.NET反序列化漏洞全链路攻防

议题从攻防角度出发,剖析.NET常见高危反序列化组件,结合实战案例,深入解析JavaScriptSerializer的特殊漏洞触发机制,从上传恶意DLL到加载混合程序集的完整利用链,同时针对定制化WAF展示代码层面的绕过方法,系统呈现.NET反序列化漏洞的攻防全链路。

众测环境下被忽视的“水洞”攻击面

分享几个在众测中遇到过的"水洞"案例,本身众测开放时间就短并且要和大量师傅一同开始竞争,所以摸索出了一些简单的漏洞案例,忽略的功能点,隐藏的资产面,但是具体通过标准也是由厂商定夺,"水洞"危害字如其名,赏金也是符合"水"的标准50-300区间

小程序Web接口速通案例

很早前GS测试小程序案例,基本没有难点都是先有信息联想从而扩大危害形成一个合集分享发出,案例从易到难,功能点找到接口文档或者Web缺少token反推小程序业务普通用户权限

注入起手联想启发Web收菜之旅

SRC不慎打偏忽略案例,备案企业虽然是子公司但控股资产不足该SRC收录资产标准,后续回望报告也发现不算复杂真在收取范围的话也可能被其他师傅交过,故发出整个过程进行分享