渗透测试 - 推荐的文章 - 第2页

某官网SQL注入bypass某云盾waf

在某次对单位官网的渗透测试中发现存在SQL注入，存在某云盾waf，研究后成功手注绕过，并得到数据。

17
17
Yi1StaR
发布于 2026-02-04 10:00:02
阅读 ( 3016 )

实战-SRC从入门到精通超详细分析

前言最近也是在学挖src，也准备分析一下自己的挖掘过程思路。在平时的挖掘src过程中，百分之99都是遇见的是登录框，一般思路都是测弱口令啊，登录框测sql啊，熊猫头识别接口拼接测试未授权啊，...

20
17
Werqy3
发布于 2025-10-14 09:00:02
阅读 ( 6579 )

漏洞挖掘-业务响应状态码攻击面新思路

挖掘了几个有意思的逻辑漏洞,均与响应状态相关,功能点关键的请求包执行完成,但是后端并没有返回有效的校验字段,如 openid token 等可猜测后端验证并不严格,引出响应状态码思考...文章为笔记复制故无社区水印,欢迎转载但请标明社区原创地址

18
17
一天要喝八杯水
发布于 2025-09-12 10:03:23
阅读 ( 7173 )

任意用户登录漏洞挖掘思路

任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽，本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。

36
17
中铁13层打工人
发布于 2023-11-20 10:00:00
阅读 ( 15384 )

业务视角下的金融SRC快速挖掘思路

挖掘金融类漏洞的核心不仅仅是技术点本身，更需要深入理解业务链路、资金流转规则、风控策略与账户体系，从而在“设计缺陷”中找到突破点。本文总结梳理常见的金融逻辑漏洞类型及关键节点的可利用点，帮助安全人员深入理解这些场景，快速定位高价值逻辑漏洞大大提升漏洞挖掘效率和准确度，减少资损信息泄露等高危问题的发生。

20
16
hyyrent
发布于 2025-12-24 09:00:01
阅读 ( 3681 )

记一次实战小程序漏洞测试到严重漏洞

记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

16
16
律师
发布于 2024-10-31 09:00:01
阅读 ( 12165 )

浅谈Webpack导致的一些问题

webpack的打包方便了我们，却也因为他的特性，使网站也存在了一些安全问题......

17
16
TUANOAN
发布于 2022-07-13 09:52:50
阅读 ( 20470 )

这个SQL注入有点东西

最近遇到了几个比较有意思的SQL注入，跟各位师傅们分享一下思路和注入方式。

19
15
薛定谔不喜欢猫
发布于 2025-07-10 09:00:01
阅读 ( 9357 )

记一次 bypass 前端验证 + 后端缺陷

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

11
15
yier
发布于 2021-06-23 15:18:48
阅读 ( 15794 )

记一次绕过阿里云waf与某不知名waf的双waf上传getshell

本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell

19
14
张三一号
发布于 2025-01-23 10:00:01
阅读 ( 10881 )

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验，希望对大家有所帮助。

18
14
lei_sec
发布于 2024-04-15 10:13:29
阅读 ( 12877 )

记一次任意文件下载(尝试Getshell未果)

有请今天的主角登场，不难看出这是一个招聘系统 1.先尝试注册

9
14
C01D
发布于 2023-02-17 16:19:55
阅读 ( 13301 )

【万字】一文读懂Android APP抓包和反编译&frida脱壳&APP单/双向认证&Root隐藏绕过技巧

这篇文章主要是写AndroidAPP抓包和反编译&frida脱壳&APP单/双向认证绕过技巧相关的，总字数有一万字了。emmm之前学习安卓APP抓包，包括最近做APP的众测项目多，所以这里抽几天时间给师傅们分享下相关文章，因为网上这方面总结的文章很少，都是很多年前比较老的文章了，所以就想着分享一篇Android APP相关文章。