全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    某 SRC 实录:我的完全回显 SSRF,为何抵不过 “业务说隔离”?

    作者:迪哥讲事发布日期:2025-08-25 13:15:49

    本文仅代表个人经历,旨在技术讨论,推动SRC生态更加透明公正。已对所有敏感信息进行脱敏处理。最近在某飞SRC提交了一个完全回显的SSRF漏洞,并通过他们自己提供的SSRF测试地址,成功拿到了完全回显。

    阅读全文
  • 文章封面

    一键账户接管

    作者:迪哥讲事发布日期:2025-08-24 21:26:20

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    如何不使用Fuzz得到网站所有参数与接口?

    作者:迪哥讲事发布日期:2025-08-23 17:47:25

    访问某VUE站点,发现直接重定向要求从飞书登陆,立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因, 把这个注释掉并保

    阅读全文
  • 文章封面

    价值1.4 W人民币漏洞!骚!

    作者:迪哥讲事发布日期:2025-08-22 18:31:22

    价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过正文这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。我当时在测试一个电子商务网站。该网站有两个资产在测试范围内:targe

    阅读全文
  • 文章封面

    当《黑客帝国》照进现实:AI 安全幻影特工队的破界行动

    作者:迪哥讲事发布日期:2025-08-21 17:49:59

    当AI的触角深入现实肌理,智能客服依托自然语言处理(NLP)技术处理千万次咨询时精准识别诈骗意图,自动驾驶系统通过多模态融合算法在暴雨中校准毫米波雷达的每一次扫描,金融大模型凭借联邦学习框架在毫秒间完

    阅读全文
  • 文章封面

    万元美刀的信息泄露骚思路

    作者:迪哥讲事发布日期:2025-08-20 17:04:14

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    来看海外大佬如何获取万元赏金

    作者:迪哥讲事发布日期:2025-08-19 18:03:23

    来看海外大佬如何获取万元赏金正文✅ 正常情况下示例:正常请求POST /graphqlX-Auth-Token: VALID_TOKEN_FOR_PROGRAM_OWNERContent-Type:

    阅读全文
  • 文章封面

    国内几个大厂测试的几个感受

    作者:迪哥讲事发布日期:2025-08-18 17:33:46

    正文资产维度第一档:京东:资产最大,在国内大厂里面阿里:资产多且广 ,这类厂商过资产的时候速度相对要快一点,因为资产太多了,甚至看不完第二档:以腾讯,百度为代表,资产相对比第一档少些,特点:产品多第三

    阅读全文
  • 文章封面

    有关公众号的那些事

    作者:迪哥讲事发布日期:2025-08-17 19:10:20

    正文去年尤其是今年以来,公众号转载居多了,之前有人在后台很不礼貌说脏话,被我拉黑了,说实话,建设性意见可以提,但是上升到人身攻击那就别怪我不客气了至于转载偏多的原因很简单,因为我个人精力有限,很多时间

    阅读全文
  • 文章封面

    200小时狂赚$20,300:漏洞赏金黑客挑战实录

    作者:迪哥讲事发布日期:2025-08-16 20:30:00

    forever young不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01背景安全小白团2023年7月,我和Mohammad Nikouei决定投入100小

    阅读全文
  • 文章封面

    价值1.4 W人民币漏洞!骚!

    作者:迪哥讲事发布日期:2025-08-15 17:43:12

    价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过正文这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。我当时在测试一个电子商务网站。该网站有两个资产在测试范围内:targe

    阅读全文
  • 文章封面

    一个奇葩的xss

    作者:迪哥讲事发布日期:2025-08-14 19:16:15

    一个奇葩的xss正文这种xss比较另类,碰到了目前只能看运气,bp学院里面也提到过请求体和响应体里面皆为json:下面为payload:{"id":"4","activationDate":"<scr

    阅读全文
  • 文章封面

    如何将 Self-XSS 升级为真正可利用的 XSS 漏洞

    作者:迪哥讲事发布日期:2025-08-13 17:52:17

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    网安人必看!

    作者:迪哥讲事发布日期:2025-08-12 17:30:00

    2025年必看的安全应急响应指南!关注我们丨文末赠书2025年6月15日夜间,加拿大第二大航空运营商西捷航空遭遇针对性网络攻击,攻击者利用第三方地勤软件漏洞植入恶意脚本,并通过航空公司OT系统与IT系

    阅读全文
  • 文章封面

    H1上15000美元奖励的一个漏洞

    作者:迪哥讲事发布日期:2025-08-11 17:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay

    阅读全文
  • 文章封面

    利用未授权的密码重置实现完全帐户接管

    作者:迪哥讲事发布日期:2025-08-10 17:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    通过挖掘隐藏参数到命令执行

    作者:迪哥讲事发布日期:2025-08-09 18:00:00

    0x01 前言 在日常 SRC 挖掘中,经常会遇到一些看似“平平无奇”的返回参数,稍加分析就可能牵出更深层的漏洞链。0x02 漏洞背景一次众测项目,授权对目标子域进行渗透,本次针对目标网站 ww

    阅读全文
  • 文章封面

    如何通过图片下载攻陷服务器

    作者:迪哥讲事发布日期:2025-08-08 17:33:00

    forever young不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01背景安全小白团我最近在一个赏金项目中遇到了一个请求,它接收用户输入并生成一张图片供

    阅读全文
  • 文章封面

    内网被打穿了,怎么办?

    作者:迪哥讲事发布日期:2025-08-07 18:33:25

    还能怎么办,跑路呗,没人跑,我跑,第二天九点跑到客户现场,进行应急处置。 「电瓶车骑了一个小时,各种牛鬼蛇神都有,逆行的、骑着好好的前面也没车,突然刹停、走最右侧突然左侧打方向,也不往后看有没有电瓶车

    阅读全文
  • 文章封面

    Spring 经典页面的处理方式

    作者:迪哥讲事发布日期:2025-08-06 18:18:14

    正文首先来看看经典页面:这是一个典型的java技术栈站点怎么处理?尝试访问标准Actuator路径 (/actuator),收到 "Forbidden" 响应,表明端点存在但受保护使用springbo

    阅读全文
  • 文章封面

    利用SSRF 访问数百万用户的记录

    作者:迪哥讲事发布日期:2025-08-05 20:41:47

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    记某次众测捡洞

    作者:迪哥讲事发布日期:2025-08-04 22:36:32

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    7个让我赚取漏洞赏金的侦察技巧

    作者:迪哥讲事发布日期:2025-08-01 18:15:15

    forever young不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01背景安全小白团在漏洞赏金狩猎中,侦察(Recon)往往是决定成败的关键一步——但大

    阅读全文
  • 文章封面

    实战-某次通过API接口进行的渗透测试

    作者:迪哥讲事发布日期:2025-07-31 22:26:25

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    命令注入漏洞挖掘

    作者:迪哥讲事发布日期:2025-07-30 21:38:41

    在一个职位列表网站中发现了一个命令注入漏洞。这是简单的概念证明。易受攻击的参数是filename。我使用此命令“sleep 5”进行测试,响应延迟了 5-6 秒(6.113 毫秒)。请参阅下面右角的延

    阅读全文
  • 文章封面

    【SRC实战】验证码漏洞

    作者:迪哥讲事发布日期:2025-07-29 21:52:51

    No.0前言在挖一家大型src时,在一个微信小程序处发现用一个手机号发送短信验证码之后,填任意的手机号都可以绑定成功,造成任意用户相关漏洞。大家以后挖验证码相关漏洞的时候可以尝试一下No.1正文在一个

    阅读全文
  • 文章封面

    价值 35,000 赏金的漏洞

    作者:迪哥讲事发布日期:2025-07-28 22:51:32

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    一次从0到1的逻辑漏洞挖掘之旅

    作者:迪哥讲事发布日期:2025-07-27 20:30:00

    前言最近对某产品进行渗透测试,系统登陆进去发现是一片空白,前端没有任何菜单,界面,登陆后也仅仅只会产生两个后端请求,通过爆破也发现没有什么敏感的接口、api文档等。以往遇到这种情况都是直接下一个,但这

    阅读全文
  • 文章封面

    命令执行

    作者:迪哥讲事发布日期:2025-07-26 20:10:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    如何在移动端抓包-上

    作者:迪哥讲事发布日期:2025-07-11 17:15:00

    本文来源于知识星球,主要讲解如何在移动端app抓包,分为上下两篇,一篇是ios,一篇是android,尤其是android环境搭建,里面坑很多,这里教你如何过坑今明两天分别发布正文1.准备一台二手io

    阅读全文
下一页