黑白网成立于2014年,基于丰富的技术和经验,专注于信息安全,提供网络安全攻防、极客创意类文章、黑白帽黑客类技术文章、全球互联网实时动态。旨在提高国民IT经验,安全并非一个人的责任。 互联网时代,诸君共勉!
-
漏洞挖掘 | 单点登录的网站通过Referer盗取用户授权
最近参加了一个赏金计划,然后在单点登录中发现了一个涉及比较多站点的漏洞,测试过程比较有意思,所以分享一下。基础解答:一般我们在挖洞的时候,很关键的就是要观察数据流,你可以选择用burp,当然也可以使用浏览器的F12(俗称浏览器F12大法)来...
-
HackerOne | GitLab中Wiki页面存储型XSS
漏洞信息发现者:ryhmnlfj漏洞种类:存储型xss危害等级:高危漏洞状态:已修复前言Ryhmnlfj发现GitLab的Wiki特定的分层链接Markdown存在存储型XSS漏洞。漏洞再现1、登录到GitLab2.、打开您有权编辑Wiki...
-
看我如何攻破钓鱼网站老巢并拿下服务器
收到钓鱼网站链接:点击链接:出现拦截链接,看来chrome属实牛逼,但是我们点继续访问是一个仿的qq邮箱手机上的登录界面审计一下页面(也可以抓包),可以发现,数据提交的链接:访问这个链接:发现主目录403 因为以前日过一个钓鱼网站...
-
-
逻辑漏洞 | 密码重置漏洞实战
前言某佬找我共同商议一下某X怎么怼,到头来还是没日下。不过找到了几个漏洞,感觉还行正文一打开一股浓浓的BC彩P味道袭来,is very good !shodan插件看了一下IP和开放的端口康康,0708那么大个字帖在上面,怎么可以不去试试呢...
-
渗透测试常见点大全分析
大家好,我是Tone,前几天我们字节脉搏的活动获得行业内各家媒体、企业、粉丝的支持,在此我非常感谢各位,相继的奖品和开奖会陆续送出请耐心的等待。此文主要是分析一下常见的web、系统、逻辑漏洞、各行业漏洞常见存在点,马上实习高峰期也要到来,各...
-
社会工程学之基础概念、IP获取、IP物理定位、文件属性社会工程学之基础概念、IP获取、IP物理定位、文件属性
社会工程学声明:本人坚决反对利用社会工程学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。什么是社会工程学?世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才...
-
作为一名黑客,通过技术手段发现女朋友出轨了...
作为一个不合格的乌云白帽子,下边只是冰山一角吧。但如果你是异地,那这也许是最好的教材。Part 1:好像被绿了?我慌了事情一开始是这样,我和GF异地接近一年了,GF有两个号码,有一个是我给她买的,另一个是自己买的。有一天我突然感觉我俩每天的...
-
实战渗透 | 情侣空间钓鱼邀请,撸它
前两天收到一情侣空间的邀请 一脸吃惊长这个样子当时在火车上,随便拿手机看了看 踩了下点后台及简单弱口令 无果反手一个XSS Fuck?好吧 好吧 惹不起 …..今天 2019.07.21 天气很热,砖头也很烫手 烦躁想起这个钓鱼站,已知信息...
-
wifi安全测试密码跑包
1)目前无线渗透试有2种方法:1>抓握手包然后跑包;2>通过WPS进行跑pin码 ;note:第2种方法是要求路由器开启了wps功能,并且要求路由器没有设置pin防护,其它的方法关于Router’s Exploitation o...
