业务视角下的金融SRC快速挖掘思路

挖掘金融类漏洞的核心不仅仅是技术点本身，更需要深入理解业务链路、资金流转规则、风控策略与账户体系，从而在“设计缺陷”中找到突破点。本文总结梳理常见的金融逻辑漏洞类型及关键节点的可利用点，帮助安全人员深入理解这些场景，快速定位高价值逻辑漏洞大大提升漏洞挖掘效率和准确度，减少资损信息泄露等高危问题的发生。

• 20
• 16
• hyyrent
• 发布于 2025-12-24 09:00:01
• 阅读 ( 3598 )

记一次实战小程序漏洞测试到严重漏洞

记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

• 16
• 16
• 律师
• 发布于 2024-10-31 09:00:01
• 阅读 ( 12107 )

挖矿木马+隐藏后门应急分析

记录一次挖矿病毒木马的学习，仅供学习交流 ！

• 15
• 16
• Yu9
• 发布于 2024-07-25 09:00:01
• 阅读 ( 10649 )

【溯源反制】自搭建蜜罐到反制攻击队

本篇文章结合之前的案例总结了一些作为蓝队的经验，希望能对蓝队溯源得分有所帮助，如果还有其他奇招妙法欢迎师傅们多多交流

• 18
• 16
• hyyrent
• 发布于 2023-09-01 09:00:02
• 阅读 ( 16497 )

浅谈Webpack导致的一些问题

webpack的打包方便了我们，却也因为他的特性，使网站也存在了一些安全问题......

• 17
• 16
• TUANOAN
• 发布于 2022-07-13 09:52:50
• 阅读 ( 20444 )

这个SQL注入有点东西

最近遇到了几个比较有意思的SQL注入，跟各位师傅们分享一下思路和注入方式。

• 19
• 15
• 薛定谔不喜欢猫
• 发布于 2025-07-10 09:00:01
• 阅读 ( 9269 )

小米AX9000路由器CVE-2023-26315漏洞挖掘

分享一个笔者挖的小米AX9000路由器命令注入漏洞（CVE-2023-26315）的调用链分析。为了赏金挖洞，为了稿费发文，又要到饭了兄弟们！

• 16
• 15
• winmt
• 发布于 2024-05-23 09:00:00
• 阅读 ( 31457 )

记一次HW样本分析

HW中遇到的样本

• 4
• 15
• 鹿柴
• 发布于 2023-09-05 09:00:00
• 阅读 ( 16140 )

一次针对安全人员免杀工具的投毒事件分析

一次针对安全人员免杀工具的投毒事件分析

• 11
• 15
• 安全运营小二
• 发布于 2022-09-15 09:33:08
• 阅读 ( 22187 )

记一次 bypass 前端验证 + 后端缺陷

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

• 11
• 15
• yier
• 发布于 2021-06-23 15:18:48
• 阅读 ( 15769 )

记一次绕过阿里云waf与某不知名waf的双waf上传getshell

本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell

• 19
• 14
• 张三一号
• 发布于 2025-01-23 10:00:01
• 阅读 ( 10838 )

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验，希望对大家有所帮助。

• 18
• 14
• lei_sec
• 发布于 2024-04-15 10:13:29
• 阅读 ( 12825 )

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力，仍然会存在着一些局限性；为了克服这些局限性，使用自动化代码审计工具可以快速识别所有可疑漏洞的位置，从而提高审计的效率和准确性！

• 12
• 14
• Yu9
• 发布于 2024-02-22 09:00:01
• 阅读 ( 18290 )

记一次任意文件下载(尝试Getshell未果)

有请今天的主角登场，不难看出这是一个招聘系统 1.先尝试注册

• 9
• 14
• C01D
• 发布于 2023-02-17 16:19:55
• 阅读 ( 13286 )

记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统，遂进行代码审计

• 16
• 14
• dota_st
• 发布于 2022-02-14 09:28:23
• 阅读 ( 14236 )

零基础解密手机微信【视频讲解】

#前言： 微信平台是目前公众使用频率极高的一款即时通信软件，为公众带来极大的便利。但同时也给 不法分子带来新的机会，许多违法犯罪行为在微信平台上发生。 上篇我们介绍了PC端微信相关数...

• 10
• 14
• 天禧信安
• 发布于 2021-08-30 10:10:00
• 阅读 ( 23321 )

【万字】一文读懂Android APP抓包和反编译&frida脱壳&APP单/双向认证&Root隐藏绕过技巧

这篇文章主要是写AndroidAPP抓包和反编译&frida脱壳&APP单/双向认证绕过技巧相关的，总字数有一万字了。emmm之前学习安卓APP抓包，包括最近做APP的众测项目多，所以这里抽几天时间给师傅们分享下相关文章，因为网上这方面总结的文章很少，都是很多年前比较老的文章了，所以就想着分享一篇Android APP相关文章。

• 26
• 13
• routing
• 发布于 2025-11-21 09:50:36
• 阅读 ( 12136 )

同源异梦：JWT 泄露后从主站到旁站的渗透曲线

在测试过程中，常常会遇到jwt的泄露，但是在测试时，无论加什么header，如何改uri，最后的结果不是401，就是404。不妨试一下同IP站点或者相似站点。

• 9
• 13
• _7
• 发布于 2025-07-02 09:43:33
• 阅读 ( 10076 )

智能汽车安全-漏洞挖掘到控车攻击

本文专注讲解真实漏洞、挖掘技巧、实际控车案例和个人的建议，不涉及复杂的汽车架构、网络拓扑、车内通信等技术，所有人都可放心食用

• 16
• 13
• OYyunshen
• 发布于 2025-04-30 11:33:20
• 阅读 ( 10606 )

未授权服务加固与泛解析字符绕过

面向公网资产多轮加固的业务、异常的业务，通过泛解析字符让服务抛出异常信息回显，定位到无需认证的位置，缩短未授权业务测试的日常时间成本。

• 17
• 13
• echoa
• 发布于 2025-04-22 16:44:26
• 阅读 ( 7078 )