关注我们

  • 漏洞挖掘 | 单点登录的网站通过Referer盗取用户授权

    漏洞挖掘 | 单点登录的网站通过Referer盗取用户授权

    最近参加了一个赏金计划,然后在单点登录中发现了一个涉及比较多站点的漏洞,测试过程比较有意思,所以分享一下。基础解答:一般我们在挖洞的时候,很关键的就是要观察数据流,你可以选择用burp,当然也可以使用浏览器的F12(俗称浏览器F12大法)来...

    萧寒 安全文摘 2019.12.06 10882
  • HackerOne | GitLab中Wiki页面存储型XSS

    HackerOne | GitLab中Wiki页面存储型XSS

    漏洞信息发现者:ryhmnlfj漏洞种类:存储型xss危害等级:高危漏洞状态:已修复前言Ryhmnlfj发现GitLab的Wiki特定的分层链接Markdown存在存储型XSS漏洞。漏洞再现1、登录到GitLab2.、打开您有权编辑Wiki...

    CDL路飞 安全文摘 2019.12.06 10644
  • 高仿官方真假难辨,你的隐私正在被这些APP泄露!

    高仿官方真假难辨,你的隐私正在被这些APP泄露!

    华盟君引言“打开应用商店,想下载官方查询公积金的APP,结果一搜“闪电公积金”“公积金管家”“快查公积金”“公积金贷款”???这么多APP哪一个才是官方的?这种APP安全吗?今天华盟君就带你说一说这些山寨货。”高仿、山寨这些词想必大家都很熟...

    googxxoo 安全快讯 2019.12.06 10635
  • 网络安全员变“黑客” 量身定做入侵工具 涉案金额200万

    网络安全员变“黑客” 量身定做入侵工具 涉案金额200万

    网络安全技术人员竟成为“黑客”,专“黑”金融类网站今年2月,广州市公安局网警支队通过对个别黑客攻击行为进行侦查分析,挖出一条指向某安全技术公司人员刘某的线索,其所在地为海珠区。经侦查,这是一个“制售黑客程序工具—非法侵入、出售网站系统权限—...

    十年 安全快讯 2019.12.06 10881
  • 看我如何攻破钓鱼网站老巢并拿下服务器

    看我如何攻破钓鱼网站老巢并拿下服务器

    收到钓鱼网站链接:点击链接:出现拦截链接,看来chrome属实牛逼,但是我们点继续访问是一个仿的qq邮箱手机上的登录界面审计一下页面(也可以抓包),可以发现,数据提交的链接:访问这个链接:发现主目录403 因为以前日过一个钓鱼网站...

    hz6583 安全文摘 2019.12.06 10916
  • 社工库机器人|DDOS机器人

    社工库机器人|DDOS机器人

    前些天为了方便自己使用,开发了一款QQ机器人主要功能如下DNS测压、NTP测压、SOAP测压、CLDAP测压老密、信息+、q绑、微博绑定等信息查询除此之外手机轰炸、ip获取链接生成社工库数据对接电报社工库机器人DDOS对接国外平台defco...

    lxd 安全工具 2019.12.05 11696
  • 记一次应急响应实战

    记一次应急响应实战

    事件背景某日,同事接了一个电话,突然告诉我有个某单位服务器中了木马被黑,具体情况未知。由于客户那边比较急,于是我火速赶往客户现场。到现场,客户首先给我看了深信服防火墙拦截记录,显示内网三台机器被入侵。通过沟通了解,被黑服务器为客户微信端服务...

    Lzers 安全文摘 2019.12.03 12334
  • 逻辑漏洞 | 密码重置漏洞实战

    逻辑漏洞 | 密码重置漏洞实战

    前言某佬找我共同商议一下某X怎么怼,到头来还是没日下。不过找到了几个漏洞,感觉还行正文一打开一股浓浓的BC彩P味道袭来,is very good !shodan插件看了一下IP和开放的端口康康,0708那么大个字帖在上面,怎么可以不去试试呢...

    聿隐 安全文摘 2019.11.28 14243
  • 渗透测试常见点大全分析

    渗透测试常见点大全分析

    大家好,我是Tone,前几天我们字节脉搏的活动获得行业内各家媒体、企业、粉丝的支持,在此我非常感谢各位,相继的奖品和开奖会陆续送出请耐心的等待。此文主要是分析一下常见的web、系统、逻辑漏洞、各行业漏洞常见存在点,马上实习高峰期也要到来,各...

    aobokj 安全文摘 2019.11.28 13851
  • 警惕!这不是“骗局”,你的位置信息真的会泄露!

    警惕!这不是“骗局”,你的位置信息真的会泄露!

    发一条短信就能定位别人的位置信息这是什么操作……近日在浙江省嘉兴市“净网2019”专项行动案件专题新闻发布会上警方首次披露了这个典型案例▼“警察同志,我被骗了”今年2月份,浙江海宁的夏女士报警称,自己在网上花199元充值了一款名为“定位宝”...

    十年 安全快讯 2019.11.28 13615