攻防渗透集锦JS泄露突破多个后台
记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分离网站下渗透突破思路呢,文章为笔记复制故无社区水印,欢迎转载 但请标明社区原创地址
- 10
- 17
- 一天要喝八杯水
- 发布于 2025-09-10 09:00:00
- 阅读 ( 1381 )
一天要喝八杯水
任意用户登录漏洞挖掘思路
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。
- 34
- 17
- 中铁13层打工人
- 发布于 2023-11-20 10:00:00
- 阅读 ( 12924 )
中铁13层打工人
江南小虫虫
xhys
某学校授权渗透测试评估
从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决定了攻击面。若该篇文章存在错误恳请各位师傅们斧正;若您对该渗透流程有更好的建议或者不同的思路想法也烦请您不吝赐教。
- 19
- 15
- hey
- 发布于 2024-01-08 10:00:02
- 阅读 ( 13967 )
hey
苏苏的五彩棒
浅谈Webpack导致的一些问题
webpack的打包方便了我们,却也因为他的特性,使网站也存在了一些安全问题......
- 17
- 15
- TUANOAN
- 发布于 2022-07-13 09:52:50
- 阅读 ( 18511 )
yier
某众测前端解密学习记录
某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。
- 16
- 14
- lei_sec
- 发布于 2024-04-15 10:13:29
- 阅读 ( 9883 )
记一次任意文件下载(尝试Getshell未果)
有请今天的主角登场,不难看出这是一个招聘系统 1.先尝试注册
- 9
- 14
- C01D
- 发布于 2023-02-17 16:19:55
- 阅读 ( 11932 )
C01D
未授权服务加固与泛解析字符绕过
面向公网资产多轮加固的业务、异常的业务,通过泛解析字符让服务抛出异常信息回显,定位到无需认证的位置,缩短未授权业务测试的日常时间成本。
- 17
- 13
- echoa
- 发布于 2025-04-22 16:44:26
- 阅读 ( 4096 )
阿斯特
[攻防实战]外网突破
在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...
- 20
- 13
- 苏苏的五彩棒
- 发布于 2023-09-28 09:00:02
- 阅读 ( 13314 )
【Web实战】零基础微信小程序逆向
本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。
- 19
- 12
- Believer
- 发布于 2023-11-21 09:00:02
- 阅读 ( 16849 )
完整收集信息以扩展实战攻击面
通过两个实战例子,分别以外部和内部为例,展示收集信息的重要性,通过收集完备信息,最大化扩展渗透攻击面
- 13
- 12
- K0u_az
- 发布于 2022-07-20 09:46:42
- 阅读 ( 12146 )
K0u_az
又记一次安服仔薅洞实战-未授权之发现postgresql注入
距离上次文章又过去了小半年的时间,忙了小半年也没有什么优秀的东西分享就一直沉寂着,这次我带着实战干货又回来啦!这一次也是干公司的项目,是关于一个登录框的渗透测试,也不逼逼了开始渗透
- 21
- 12
- L1NG
- 发布于 2022-03-07 09:55:23
- 阅读 ( 11406 )
L1NG
记一次绕过阿里云waf与某不知名waf的双waf上传getshell
本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell
- 14
- 11
- 张三一号
- 发布于 2025-01-23 10:00:01
- 阅读 ( 7154 )