文章列表
响应变参数-挖掘潜在的逻辑越权
## 开始对一个网站做测试的时候发现了这样一条请求:这条请求返回的是个人信息(用户ID、手机号、密码)```json{"responseData":{"userid":"用户id","login":"用户名","password":"密码","mobilenum":"手机号","mobileisbound":"01","email":null}}```一开始的想法是变为GET请求(可行),然后增加JSON
微软0day漏洞已遭多个威胁者利用,可完全控制用户电脑
雷锋网(公众号:雷锋网)3月14日消息,微软在周二更新了软件,解决了Windows 操作系统和其它产品中的64个漏洞,它们分别存在于Windows、IE、Edge、MS Office 和 MS Office SharePoint、ChakraCore、企业版 Skype以及 Visual Studio NuGet 中。微软0day漏洞已遭多个威胁者利用,可完全控制用户电脑值得一
拼多多(pinduoduo.com)某系统任意用户注册漏洞
拼多多(pinduoduo.com)某系统任意用户注册漏洞
WinRAR目录穿越漏洞浅析及复现(CVE-2018-20250)
本文首发于Freebuf,因为某些原因,最近囊中羞涩,所以只能发到Freebuf,赚点稿费。现在发到论坛里,一是请各位师傅指导一下我这个菜鸡,二是想和各位师傅共同交流,谢谢。----------## 0x00 前言##我是于2月21号看见各大安全网站都发布了"WINRAR曝出严重漏洞,影响全球5亿用户"的文章,才了解到这个漏
电商Gearbest被曝泄露信息:含数百万用户和订单数据
研究人员诺姆·罗特姆(Roam Rotem)发现,一个Elasticsearch服务器每周都会泄露数百万条记录,包括客户数据、订单和支付记录。该服务器并没有用密码保护,所有人都可以搜索到这些数据。Gearbest网站排名全球前250位,为华硕、华为、英特尔和联想等品牌提供服务。已经通过该公司的专用安全页面与之取得
投稿文章:浅析XISE菜刀的前世今生
之前就有想写篇关于这个工具的文章,刚好想撸个大土司的号,索性直接投稿给土司好了。众所周知,XISE菜刀的第一任作者是小骏,此工具是用E语言编写的,据听说小骏更新XISE菜刀到8.86版本就不继续更新了。其中的缘由咱们也不清楚,也许是钱赚到了转行了吧,首先先放几张XISE菜刀的历代版本的截图,(图片来自网
站长之家(chinaz.com)某分站sql注入漏洞
站长之家(chinaz.com)某分站sql注入漏洞
微软 Word 中的新漏洞允许攻击者绕过所有防恶意软件防御
利用这个漏洞能绕过许多旨在保护数据免受侵扰的安全解决方案,包括领先的沙盒和反恶意软件技术。恶意软件代码显示它能够访问URL,创建文件和/或文件夹,运行shell命令以及执行和结束程序,它还可以通过记录击键和鼠标事件来窃取信息。Mimecast Research Labs已经向微软通报了这个漏洞,但微软公司表示
韵达(yundaex.com)某分站代码执行漏洞,可getshell
韵达(yundaex.com)某分站代码执行漏洞,可getshell
百度(baidu.com)某分站存在self-xss跨站漏洞
百度(baidu.com)某分站存在self-xss跨站漏洞
