全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    XSS 如何升级

    作者:迪哥讲事发布日期:2026-01-02 11:00:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言本文章将解释国外白帽大佬如何在一个网站

    阅读全文
  • 文章封面

    domxss的经典类型

    作者:迪哥讲事发布日期:2025-12-30 09:00:00

    domxss的经典类型正文domxss里面有一种非常经典的类型: 获取浏览器的URL查询参数举个例子:URL为'http://example.com?name=John&age=30'写一个函数能够实

    阅读全文
  • 文章封面

    逻辑缺陷之APP任意账号登录

    作者:迪哥讲事发布日期:2025-12-29 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。前段时间团队接到了一个授权APP测试,客户要求就是全面一点就行,字里行间都能感受到对方技术大佬的自信,那还

    阅读全文
  • 文章封面

    账户接管新思路

    作者:迪哥讲事发布日期:2025-12-28 09:00:00

    引言服务器和人类一样,对单次能处理的数据量有上限。你可能对414和431状态码并不陌生:414状态码——当URL超过服务器定义的限制时返回。431状态码——当请求头超过服务器定义的限制时返回。尽管这些

    阅读全文
  • 文章封面

    某企业src实战

    作者:迪哥讲事发布日期:2025-12-27 09:00:00

    1►案例还是开局一个登录框。这里简单的抓一个包看看有什么可用的信息。直接是明文传输可以尝试了一下sql注入有waf打不了还得沉淀。直接换个思路写个脚本把验证码提取出来再进行枚举他的用户看能不能搞个账号

    阅读全文
  • 文章封面

    一个$20,000的漏洞

    作者:迪哥讲事发布日期:2025-12-26 16:51:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。掘秘YouTube:隐藏API参数如何泄露

    阅读全文
  • 文章封面

    从隐藏参数到账户接管

    作者:迪哥讲事发布日期:2025-12-25 09:00:00

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    实战|记一次寄生虫站点中的组件Getshell到白嫖day

    作者:迪哥讲事发布日期:2025-12-24 09:00:00

    闲来无事的时候打开一个站点,看似平平无常其实已经被做了蜘蛛劫持通过模拟蜘蛛可以看到这个站点已经被hack干沦陷了本来不想管的,好奇心的驱动下,开始复盘操作仔细看了很久,扫描爆破路径和后台,什么的都没找

    阅读全文
  • 文章封面

    如何发现domxss

    作者:迪哥讲事发布日期:2025-12-23 09:00:00

    如何发现domxss正文之前写过dom xss的一些基础: https://t.zsxq.com/DRGoP里面介绍了基本的source和sink,本质上来讲,寻找dom 类型的xss就是去寻找sou

    阅读全文
  • 文章封面

    高级 CORS 利用技术

    作者:迪哥讲事发布日期:2025-12-22 09:00:00

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    意想不到的账号信息泄露

    作者:迪哥讲事发布日期:2025-12-21 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的一次授权测试了,回看还是觉得这个漏洞挺有意思的,有时候都在想这似乎是开发老哥给自己留的小后门

    阅读全文
  • 文章封面

    SRC中自动化查找目录遍历获取赏金

    作者:迪哥讲事发布日期:2025-12-20 09:00:00

    规则在每个目录加/ 匹配 Index of在测试网站时,www.xxx.com/a/b/c 会自动扫描 www.xxx.com/a//,www.xxx.com/b//,www.xxx.com/c/

    阅读全文
  • 文章封面

    任意用户密码重置

    作者:迪哥讲事发布日期:2025-12-19 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是老早之前的一次授权攻防类测试了,目标是一个标准的登录系统,客户还是一如既往的要求(随便看看就行,没有要

    阅读全文
  • 文章封面

    测试swagger未授权的一个神器

    作者:迪哥讲事发布日期:2025-12-18 09:00:00

    测试swagger未授权的一个神器正文https://github.com/lijiejie/swagger-exp如果你是一个长期主义者,欢迎加入我的知识星球,本星球日日更新,绝非简单搬运,包含号主

    阅读全文
  • 文章封面

    无0day复杂利用!挖逻辑纯靠 “肉眼扫描器”?

    作者:迪哥讲事发布日期:2025-12-17 09:00:00

    渗透测试人员堪称代码世界的 "超级侦探",手握 Burp Suite 这把 "神奇放大镜",进入甲方的资产海洋遨游,在其中对着页面疯狂改参数、发请求,却总被系统用平淡入手的响应打发,如同在广阔的太平洋

    阅读全文
  • 文章封面

    AI如何用参数污染“突破”顶级WAF

    作者:迪哥讲事发布日期:2025-12-16 08:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。简介在最近的一次自主渗透测试中,国外研究团

    阅读全文
  • 文章封面

    加密数据自动解密神器

    作者:迪哥讲事发布日期:2025-12-15 08:30:00

    做渗透测试、抓包分析时,最烦的是什么?是对着一串加密乱码抓耳挠腮,反复调试解密脚本却毫无头绪?是耗费数小时拆解加密逻辑,最后还可能因为算法差异功亏一篑?别慌!CloudX 插件重磅登场,专为数据包解密

    阅读全文
  • 文章封面

    SRC实战-挖穿某app

    作者:迪哥讲事发布日期:2025-12-14 08:00:00

    01前言1、完全接管任意用户的账号,且账号是可以被遍历的。2、敏感信息泄漏:手机号、真实姓名、地址、3、身份证等大量敏感信息未脱敏显示。敏感操作,由于此站点存在不同权限的用户,高权限账号允许完成大量的

    阅读全文
  • 文章封面

    记某次攻防从外到内打穿出局

    作者:迪哥讲事发布日期:2025-12-13 12:00:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    寻找隐藏资产的方法

    作者:迪哥讲事发布日期:2025-12-12 09:00:00

    最近看到好几篇文章关于影子小程序的文章。最初我在今年12月2日写了一篇“下线了不是完全下线”。第二天有公众号就写了一篇名叫“新增攻击面:影子“小程序””的文章。内容差不多是那个意思。不过写的比

    阅读全文
  • 文章封面

    用户名枚举到 getshell

    作者:迪哥讲事发布日期:2025-12-11 09:00:00

    最近在测试医院的资产,纯黑盒测试,waf 没加白,ip 没加白,监测到恶意字符就给封了。没得办法,直接飞行模式-网站-飞行模式-网站不过有的拦截不严格,有的则是直接封死。刚好下面的系统拦的不严格依旧老

    阅读全文
  • 文章封面

    一些常见key的利用工具

    作者:迪哥讲事发布日期:2025-12-10 09:00:00

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    简简单单的致命IDOR

    作者:迪哥讲事发布日期:2025-12-09 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是之前的一个授权打点测试,目标是一个小程序,微信授权登录进去后,功能如下,整体功能还挺简单的,可测的内容

    阅读全文
  • 文章封面

    巧用多客户端差异性获取敏感信息(斩获3k)

    作者:迪哥讲事发布日期:2025-12-08 08:30:00

    前言:这类的洞捡过好几个了。首发知识星球,这类技术,知识点不高且脱敏了的东西就转出来吧。正文:22年挖的src了,成功获取3k奖金。漏洞已修复,且涉及内容均打码。技术上没啥难点,主要是思路,1、当存在

    阅读全文
  • 文章封面

    利用CRLF所造成的XSS

    作者:迪哥讲事发布日期:2025-12-07 11:00:00

    利用CRLF所造成的XSS正文正常情况(期望行为)用户请求一个合法的 URL,例如:GET /?q=hello HTTP/1.1\Host: stagecafrstore.starbucks.com服

    阅读全文
  • 文章封面

    记一次实战挖掘

    作者:迪哥讲事发布日期:2025-12-06 11:50:00

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    一款js监控工具

    作者:迪哥讲事发布日期:2025-12-05 08:38:00

    一款js监控工具正文https://github.com/ynsmroztas/InspectJS使用:git clone https://github.com/ynsmroztas/InspectJ

    阅读全文
  • 文章封面

    IDOR的一些新思路

    作者:迪哥讲事发布日期:2025-12-04 08:23:00

    IDOR的一些新思路正文主要记录之前没有见过的一些情况.🧩 1. Leading Zeros(前导零绕过)原理:某些后端系统在校验ID时,将字符串转为数字或对比时忽略前导零,导致009与9被视为相同I

    阅读全文
  • 文章封面

    子域名模糊测试赢得35,000美元赏金!

    作者:迪哥讲事发布日期:2025-12-03 08:00:00

    forever young不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01背景安全小白团大家好,我是 HX007,全职漏洞赏金猎人,活跃于 BugCrowd

    阅读全文
  • 文章封面

    从 Cookie 同意到命令执行

    作者:迪哥讲事发布日期:2025-12-02 06:00:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
上一页下一页