全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    某通杀 工具

    作者:迪哥讲事发布日期:2025-10-25 22:47:00

    正文脚本地址:https://github.com/0xsdeo/Hook_JS/blob/main/Hook_CryptoJS/Hook_CryptoJS_%E5%AF%B9%E7%A7%B0%E5

    阅读全文
  • 文章封面

    获得管理员访问权限另类思路

    作者:迪哥讲事发布日期:2025-10-24 23:12:03

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    某系统存在多处SQL注入漏洞

    作者:迪哥讲事发布日期:2025-10-23 17:30:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    信息收集神器

    作者:迪哥讲事发布日期:2025-10-22 17:30:00

    重要事情!!!本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。Attacker安全安全小马喽们!!!现

    阅读全文
  • 文章封面

    最大化收集Vue框架(SPA类型)下的js

    作者:迪哥讲事发布日期:2025-10-21 20:03:45

    0x00 前言我有很长一段时间没有更新与web安全有关的内容了,这两天我学习了一下Vue,今天我就将我所学到的一些内容汇总到这篇文章中并分享出来。注:1.本文不会涉及到fuzz js文件。2.本文假设

    阅读全文
  • 文章封面

    0点击账户劫持

    作者:迪哥讲事发布日期:2025-10-20 22:17:23

    前言这是由一个非常有趣且容易被忽视的缺陷引发的攻击:很多看似复杂或高危的漏洞,其根因都可以归结为程序在不同处理层对同一数据的解析/表示存在不一致性(inconsistency)。今天我们要讨论的正是基

    阅读全文
  • 文章封面

    通过操控响应来实现ssrf

    作者:迪哥讲事发布日期:2025-10-19 17:50:44

    正文正常情况下:POST /me/videos HTTP/1.1Host: api.vimeo.comAuthorization: Bearer <User_OAuth_Token>Content-T

    阅读全文
  • 文章封面

    swagger页面限制的绕过

    作者:迪哥讲事发布日期:2025-10-18 23:07:05

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    模糊测试api接口

    作者:迪哥讲事发布日期:2025-10-17 17:30:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    代码审计之路之白盒挖掘机

    作者:迪哥讲事发布日期:2025-10-16 17:30:00

    本文约4000字,阅读约需9分钟。Java审计其实和Php审计的思路一样,唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量,一级一级调用,最后到控制器,这种相对简单、快速。2.逆向思维,

    阅读全文
  • 文章封面

    反调试破除神器

    作者:迪哥讲事发布日期:2025-10-15 17:30:00

    前言应该有不少读者朋友都知道我有一个Hook_JS库,这个库从创建到现在为止,已有242个star,80个fork,并且被很多星主,博主转发过,在此我也感谢大家对Hook_JS库的关注与支持。但在前段

    阅读全文
  • 文章封面

    出洞的高效方法​​

    作者:迪哥讲事发布日期:2025-10-14 17:35:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。内容来自 Medium 上 coffinx

    阅读全文
  • 文章封面

    最大化获取Vue框架(SPA类型)下的路由

    作者:迪哥讲事发布日期:2025-10-13 18:15:03

    0x00 前言在最大化收集Vue框架(SPA类型)下的js中我提出了一个重要观点:想要最大化且快速的收集Vue框架(SPA类型)下的js就需要进入目标站点下的所有路由,当你访问这些路由时就会加载各个路

    阅读全文
  • 文章封面

    实战 | 记一次SQL到接口的SSRF

    作者:迪哥讲事发布日期:2025-10-12 12:30:00

    再一次众测项目中挖掘到一个有意思的漏洞空白页面,先扫下端口和目录Wap目录有个登录页弱口令爆破下日了,有校验本来准备换站的,刷新了一下,突然进来了?玩的就是心跳和刺激是吧,主打的就是一个陪伴是吧功能少

    阅读全文
  • 文章封面

    MCP安全协议:从攻击手法到最佳实践,全景解析

    作者:迪哥讲事发布日期:2025-10-11 19:27:56

    在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此

    阅读全文
  • 文章封面

    巧用异或绕过限制导致rce

    作者:迪哥讲事发布日期:2025-10-10 18:27:24

    巧用异或绕过限制导致rce0x00 系统介绍Moodle(moodle.org)是一个开源的在线教育系统(慕课)。采用PHP+Mysql开发,界面友好,符合SCORM/AICC标准。以功能强大、而界面

    阅读全文
  • 文章封面

    xss中常见绕过思路

    作者:迪哥讲事发布日期:2025-10-09 20:30:00

    xss中常见绕过思路本文来源于笔者知识星球本文主要梳理和script标签,js伪协议,大小写混合,编码相关的绕过思路1.如果过滤器只检测 <script> 或 <script src=...>,攻击者

    阅读全文
  • 文章封面

    常见各组件以及系统默认弱口令

    作者:迪哥讲事发布日期:2025-10-08 17:10:03

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    实战 | 记一次X站逻辑漏洞到到管理员后台

    作者:迪哥讲事发布日期:2025-10-07 22:19:45

    前言:闲来无事,在群里发现有人推这玩意,一看居然是个cps平台这就有意思了我们先去找大哥开一个代理账号拿到账号之后,登录看看js也看了下没啥东西,套了cdn,也没上传点可以添加下级渠道,尝试添加添加抓

    阅读全文
  • 文章封面

    记某众测任意用户密码重置漏洞挖掘

    作者:迪哥讲事发布日期:2025-10-06 17:22:00

    依旧登录框起手两个功能点一个登录一个忘记密码登录点存在用户名枚举当用户不存在时,会提示登录用户不存在当用户存在时,会提示用户不存在或者密码错误点击忘记密码的功能,输入存在的用户,然后可以看到手机号和邮

    阅读全文
  • 文章封面

    文件上传新思路

    作者:迪哥讲事发布日期:2025-10-05 19:56:32

    前言在对 Outlook Web 进行安全研究时,国外白帽小哥发现了一个异常行为,从而发现了一处安全漏洞。本文将详细说明漏洞的发现过程、分析方法及产生原因,该漏洞微软正在修复,但该发现与分析过程对其它

    阅读全文
  • 文章封面

    这款漏洞赏金神器,让你躺着薅羊毛

    作者:迪哥讲事发布日期:2025-10-04 19:34:37

    重要事情!!!本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。Attacker安全前言 金风送爽

    阅读全文
  • 文章封面

    如何利用 AI 快速发现漏洞

    作者:迪哥讲事发布日期:2025-10-03 17:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。安装Nuclei [1]应该都不陌生吧,安

    阅读全文
  • 文章封面

    从 低危 到 RCE

    作者:迪哥讲事发布日期:2025-10-02 17:37:30

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言今天和大家分享一个国外白帽子在一个私有

    阅读全文
  • 文章封面

    由敏感参数到反序列化命令执行的src挖掘记录

    作者:迪哥讲事发布日期:2025-10-01 22:06:27

    0x01 前言 在日常 SRC 挖掘中,经常会遇到一些看似“平平无奇”的返回参数,稍加分析就可能牵出更深层的漏洞链。0x02 漏洞背景一次众测项目,授权对目标子域进行渗透,本次针对目标网站 ww

    阅读全文
  • 文章封面

    某度某处ssrf可漫游内网

    作者:迪哥讲事发布日期:2025-09-30 20:32:45

    某度某处ssrf可漫游内网老文章,但值得学习在某度资源搜索平台http://zhanzhang.baidu.com/mf/index?site=http://baidu.com 点击“一键检测”,就会

    阅读全文
  • 文章封面

    游戏漏洞挖掘

    作者:迪哥讲事发布日期:2025-09-29 20:34:01

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。引言《英雄无敌 V》是由 Nival In

    阅读全文
  • 文章封面

    不一样的漏洞挖掘思路

    作者:迪哥讲事发布日期:2025-09-28 17:13:17

    前言很多人在挖掘edusrc的时候都在关注web小程序这些资产,我们直接换一种思路,直接去找开放端口可能造成的一些问题比如ftp未授权/弱口令之之类的资产测绘fofaprotocol="ftp" &&

    阅读全文
  • 文章封面

    绕过WAF:追踪源站IP与SQL注入的艺术

    作者:迪哥讲事发布日期:2025-09-27 18:09:45

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    渗透测试JS接口Fuzz场景研究

    作者:迪哥讲事发布日期:2025-09-26 17:30:00

    渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键前端Webpack接口Vue框架并且使用Webpack打

    阅读全文
下一页