全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    一个存储型xss

    作者:迪哥讲事发布日期:2025-11-16 08:30:00

    正文A. 登录账号,访问网址:https://marketing.na1.insightly.com/B. 点击 “加号” 图标(Plus Sign)→ 添加新的重定向链接(Add a new red

    阅读全文
  • 文章封面

    绕过云waf的常见思路

    作者:迪哥讲事发布日期:2025-11-15 08:30:00

    绕过云waf的常见思路正常情况下(通过 Cloudflare)客户访问 https://www.example.com。DNS:www.example.com -> 104.16.100.160(Cl

    阅读全文
  • 文章封面

    graphQL查询中存在的ssrf

    作者:迪哥讲事发布日期:2025-11-14 08:30:00

    graphQL查询中存在的ssrf正文查询功能里面有个敏感参数source,将敏感参数替换为dnslog,如下:监控传入的 DNS 请求和 HTTP 请求。GraphQL 请求中的 “source”

    阅读全文
  • 文章封面

    如何通过搜索JS文件找到一些有价值的漏洞

    作者:迪哥讲事发布日期:2025-11-13 08:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言一次渗透测试中,白帽小哥发现了 2 处

    阅读全文
  • 文章封面

    秒杀路由守卫

    作者:迪哥讲事发布日期:2025-11-12 08:30:00

    Clear_vue_Navigation_Guards脚本描述:清除vue的全局前置守卫和全局解析守卫,清除前会打印出设置路由守卫的方法。脚本地址:https://github.com/0xsdeo/

    阅读全文
  • 文章封面

    记一次登录框的突破

    作者:迪哥讲事发布日期:2025-11-11 08:30:00

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    SRC实战之严重漏洞

    作者:迪哥讲事发布日期:2025-11-10 08:30:00

    01前言1、完全接管任意用户的账号,且账号是可以被遍历的。2、敏感信息泄漏:手机号、真实姓名、地址、3、身份证等大量敏感信息未脱敏显示。敏感操作,由于此站点存在不同权限的用户,高权限账号允许完成大量的

    阅读全文
  • 文章封面

    如何突破空白页面

    作者:迪哥讲事发布日期:2025-11-09 12:00:00

    前言在日常的渗透测试中,我们常会遇到一片空白的页面,让许多师傅感到无从下手。其实,这种“空白”往往只是表象,背后可能隐藏着未被发现的管理后台、API接口甚至是安全漏洞。本文总结了几种实用的思路,旨在将

    阅读全文
  • 文章封面

    RCE 漏洞

    作者:迪哥讲事发布日期:2025-11-08 12:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。导语简单来说,Anthropic 官方发布

    阅读全文
  • 文章封面

    【SRC实战】通过FUZZ挖掘高危漏洞

    作者:迪哥讲事发布日期:2025-11-07 08:30:00

    01前言问:什么是Fuzz技术?答:Fuzz是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试;技术原理02一次曲折的FUZ

    阅读全文
  • 文章封面

    招聘!!!!!!

    作者:迪哥讲事发布日期:2025-11-06 08:30:00

    正文北京长期驻场需求(某央企二级单位,北京五道口附近)高级:1人(硬性:本科)(非硬性:5年工作经验和有证书,能力强可放宽要求) 懂项目管理,应急响应,报告撰写,了解国内外常见APT攻击手法,能提供防

    阅读全文
  • 文章封面

    通杀脚本-III

    作者:迪哥讲事发布日期:2025-11-05 17:30:00

    0x00 前言去年我发过两篇讲解自动化加解密的文章:JS逆向系列07-实战详解如何实现自动化加解密和JS逆向系列08-双层mitmproxy代理实现自动化加解密,我原本以为自动化加解密系列至此就结束了

    阅读全文
  • 文章封面

    分享一个白帽挖掘到漏洞的过程

    作者:迪哥讲事发布日期:2025-11-04 17:30:00

    分享一个白帽挖掘到漏洞的过程正文1.信息收集:$ subfinder -d example.com | httpx -o examplesubdomain.txt2.对资产进行存活处理,这里找到一个资

    阅读全文
  • 文章封面

    高阶IDOR思路-二阶IDOR

    作者:迪哥讲事发布日期:2025-11-03 17:30:00

    高阶IDOR思路-二阶IDOR本文根据原文理解所梳理出的测试思路正文正常情况下:https://bankingapp.com/transactions/show_receipt.aspx?id=324

    阅读全文
  • 文章封面

    从控股公司下手挖掘漏洞的骚思路

    作者:迪哥讲事发布日期:2025-11-02 21:53:53

    1、众所周知很多src都是会收其控股超过50%公司的漏洞,所以有时候还是能从其控股公司捡到不少洞的,使用爱企查查看股权穿透。2、查看该公司发现没有任何资产,既没有网站,也没有软件著作,只有三个商标信息

    阅读全文
  • 文章封面

    任意用户密码重置

    作者:迪哥讲事发布日期:2025-11-01 19:22:39

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。忙里偷闲中接到客户的一个渗透需求,想看看某系统是否存在安全问题。那还说啥,必须高优安排。拿到系统,哦吼~还

    阅读全文
  • 文章封面

    通杀脚本(续)

    作者:迪哥讲事发布日期:2025-10-31 17:52:22

    0x00 前言首先非常感谢所有支持过我插件的朋友们,如果没有各位的支持,AntiDebug_Breaker也不会衍生出目前已有的这些功能。这篇续文我将讲述一下我为昨天更新的脚本进行的一些修改,以下是修

    阅读全文
  • 文章封面

    RCE

    作者:迪哥讲事发布日期:2025-10-30 17:57:52

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。SSTISSTI ,服务器端模板注入(Se

    阅读全文
  • 文章封面

    命令执行

    作者:迪哥讲事发布日期:2025-10-29 15:47:25

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    将反射型xss升级为账户劫持

    作者:迪哥讲事发布日期:2025-10-28 21:40:19

    将反射型xss升级为账户劫持正文正常请求:https://www.target.gov/group/control_panel/manage?_com_liferay_users_admin_web_

    阅读全文
  • 文章封面

    自动SSRF漏洞扫描与利用工具

    作者:迪哥讲事发布日期:2025-10-27 17:47:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言有没有一种工具,既可以自动检测SSRF

    阅读全文
  • 文章封面

    实战 | 记一次X站逻辑漏洞到到管理员后台

    作者:迪哥讲事发布日期:2025-10-26 18:59:40

    前言:闲来无事,在群里发现有人推这玩意,一看居然是个cps平台这就有意思了我们先去找大哥开一个代理账号拿到账号之后,登录看看js也看了下没啥东西,套了cdn,也没上传点可以添加下级渠道,尝试添加添加抓

    阅读全文
  • 文章封面

    某通杀 工具

    作者:迪哥讲事发布日期:2025-10-25 22:47:00

    正文脚本地址:https://github.com/0xsdeo/Hook_JS/blob/main/Hook_CryptoJS/Hook_CryptoJS_%E5%AF%B9%E7%A7%B0%E5

    阅读全文
  • 文章封面

    获得管理员访问权限另类思路

    作者:迪哥讲事发布日期:2025-10-24 23:12:03

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    某系统存在多处SQL注入漏洞

    作者:迪哥讲事发布日期:2025-10-23 17:30:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    信息收集神器

    作者:迪哥讲事发布日期:2025-10-22 17:30:00

    重要事情!!!本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。Attacker安全安全小马喽们!!!现

    阅读全文
  • 文章封面

    最大化收集Vue框架(SPA类型)下的js

    作者:迪哥讲事发布日期:2025-10-21 20:03:45

    0x00 前言我有很长一段时间没有更新与web安全有关的内容了,这两天我学习了一下Vue,今天我就将我所学到的一些内容汇总到这篇文章中并分享出来。注:1.本文不会涉及到fuzz js文件。2.本文假设

    阅读全文
  • 文章封面

    0点击账户劫持

    作者:迪哥讲事发布日期:2025-10-20 22:17:23

    前言这是由一个非常有趣且容易被忽视的缺陷引发的攻击:很多看似复杂或高危的漏洞,其根因都可以归结为程序在不同处理层对同一数据的解析/表示存在不一致性(inconsistency)。今天我们要讨论的正是基

    阅读全文
  • 文章封面

    通过操控响应来实现ssrf

    作者:迪哥讲事发布日期:2025-10-19 17:50:44

    正文正常情况下:POST /me/videos HTTP/1.1Host: api.vimeo.comAuthorization: Bearer <User_OAuth_Token>Content-T

    阅读全文
  • 文章封面

    swagger页面限制的绕过

    作者:迪哥讲事发布日期:2025-10-18 23:07:05

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
上一页下一页