全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    极容易被忽视的信息泄露思路

    作者:迪哥讲事发布日期:2026-01-28 10:00:00

    极容易被忽视的信息泄露思路正文在做测试的目标时,一定要搜索前端 JavaScript 文件里出现的“.json”路径,尤其是 /assets/mock/、/test/、/fixtures/ 等目录,因

    阅读全文
  • 文章封面

    某小程序rce

    作者:迪哥讲事发布日期:2026-01-27 09:00:00

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    某次演练过程中的攻防实战

    作者:迪哥讲事发布日期:2026-01-26 09:00:00

    免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。

    阅读全文
  • 文章封面

    支付溢出的基本原理

    作者:迪哥讲事发布日期:2026-01-23 10:00:00

    正文溢出的基本原理:int 的最大值:2147483647就int类型而言:溢出的相关公式:公式1:最大值+1 =最小值公式2: 最小值-1=最大值公式1公式2测试的时候可以多尝试如果你是一个长期主义

    阅读全文
  • 文章封面

    接口泄露到任意账号登录

    作者:迪哥讲事发布日期:2026-01-22 11:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是之前的一个授权渗透测试,测试目标是一个小程序,话不多说直接上正文。拿到小程序,直接点击登录,手机号授权

    阅读全文
  • 文章封面

    你所不知道的CRLF

    作者:迪哥讲事发布日期:2026-01-21 11:00:00

    你所不知道的CRLF---header中潜藏的漏洞声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连

    阅读全文
  • 文章封面

    单页应用(spa)测试方法

    作者:迪哥讲事发布日期:2026-01-20 10:00:00

    单页应用(spa)测试方法正文说到单页应用(spa),就不得不提多页面应用这里简单讲一讲这两者的区别多页应用:切换页面整体刷新运行慢方便搜索引擎优化及检索单页web应用:切换页面时不再整体刷新,而是替

    阅读全文
  • 文章封面

    易被忽视的敏感信息泄露

    作者:迪哥讲事发布日期:2026-01-19 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。写了2期的burp小脚本,终于又回到了搞事情上,不过这次要讲的内容思路其实很简单,几乎是有手就行,但是却又

    阅读全文
  • 文章封面

    你所不知道的存储型xss的payload

    作者:迪哥讲事发布日期:2026-01-16 09:00:00

    你所不知道的存储型xss的payload正文主要注意payLoad访问 https://app.crowdsignal.com/dashboard 并创建一个投票。在选项中输入以下 payload 作

    阅读全文
  • 文章封面

    敏感信息泄露

    作者:迪哥讲事发布日期:2026-01-15 09:00:00

    敏感信息泄露正文在 GitHub 上浏览代码仓库时,发现了一个仓库。 在搜索敏感关键词时,发现了一个 Kotlin 文件,其中硬编码了Jira的APIToken 。虽然这个仓库已经很久没更新了,但我还

    阅读全文
  • 文章封面

    通过设置验证码为0来绕过双因子验证机制

    作者:迪哥讲事发布日期:2026-01-14 09:00:00

    通过设置验证码为0来绕过双因子验证机制正文前期信息搜集中:发现有两个网站是相同的:www.domain.combeta.domain.com2FA在www.domain.com上启用的时候,在目标中创

    阅读全文
  • 文章封面

    越权和敏感信息泄露所导致的高危

    作者:迪哥讲事发布日期:2026-01-13 09:35:00

    正文第一个主要漏洞(漏洞 A)// 强制让乘客接受行程第一阶段 当司机(rider/driver)向乘客报价时,客户端会向 /api/driverrequest 发送一个请求。从这个请求中,攻击者可以

    阅读全文
  • 文章封面

    利用github来薅钱

    作者:迪哥讲事发布日期:2026-01-12 09:25:00

    正文这个漏洞感觉有点水,但是在国外能给你钱github.com/stripe/veneur 仓库包含安全敏感的代码,通常被设计用于在公司内部私有网络中运行,经常作为每个应用服务器上的边车(sideca

    阅读全文
  • 文章封面

    深入理解JavaScript 来挖洞

    作者:迪哥讲事发布日期:2026-01-10 12:00:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。许多漏洞猎人都掌握侦察技巧:搜集子域名、收

    阅读全文
  • 文章封面

    信息收集的骚思路

    作者:迪哥讲事发布日期:2026-01-08 11:00:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。90%的黑客都栽在的侦察误区,你也中了么?

    阅读全文
  • 文章封面

    攻防演练中的快速打点思路小结

    作者:迪哥讲事发布日期:2026-01-07 11:30:00

    声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与

    阅读全文
  • 文章封面

    一个可以加载react技术栈站点中js模块的工具

    作者:迪哥讲事发布日期:2026-01-06 11:50:00

    正文https://github.com/ElSicarius/chunkloader这个是最新版本的,能够适用于chrome高版本当中往期回顾如何利用ai辅助挖漏洞如何在移动端抓包-下如何绕过签名校

    阅读全文
  • 文章封面

    最强大的格式化工具

    作者:迪哥讲事发布日期:2026-01-04 11:00:00

    正文在格式化js,ts,json等方面做的非常只好,在渗透测试spa这类目标的时候非常有用地址:https://github.com/microsoft/parallel-prettier安装很方便:

    阅读全文
  • 文章封面

    漏洞挖掘|多个海外SRC产商2FA绕过实战

    作者:迪哥讲事发布日期:2026-01-03 11:30:00

    0x01 前言挖了一天的2FA Bypass感觉各种经典场景都被我遇到了,并且多个大厂商包括WEB3厂商依旧存在2FA Bypass的问题。这里我将提供我的实战案例!0x02 2FA Bypass场景

    阅读全文
  • 文章封面

    XSS 如何升级

    作者:迪哥讲事发布日期:2026-01-02 11:00:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言本文章将解释国外白帽大佬如何在一个网站

    阅读全文
  • 文章封面

    domxss的经典类型

    作者:迪哥讲事发布日期:2025-12-30 09:00:00

    domxss的经典类型正文domxss里面有一种非常经典的类型: 获取浏览器的URL查询参数举个例子:URL为'http://example.com?name=John&age=30'写一个函数能够实

    阅读全文
  • 文章封面

    逻辑缺陷之APP任意账号登录

    作者:迪哥讲事发布日期:2025-12-29 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。前段时间团队接到了一个授权APP测试,客户要求就是全面一点就行,字里行间都能感受到对方技术大佬的自信,那还

    阅读全文
  • 文章封面

    账户接管新思路

    作者:迪哥讲事发布日期:2025-12-28 09:00:00

    引言服务器和人类一样,对单次能处理的数据量有上限。你可能对414和431状态码并不陌生:414状态码——当URL超过服务器定义的限制时返回。431状态码——当请求头超过服务器定义的限制时返回。尽管这些

    阅读全文
  • 文章封面

    某企业src实战

    作者:迪哥讲事发布日期:2025-12-27 09:00:00

    1►案例还是开局一个登录框。这里简单的抓一个包看看有什么可用的信息。直接是明文传输可以尝试了一下sql注入有waf打不了还得沉淀。直接换个思路写个脚本把验证码提取出来再进行枚举他的用户看能不能搞个账号

    阅读全文
  • 文章封面

    一个$20,000的漏洞

    作者:迪哥讲事发布日期:2025-12-26 16:51:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。掘秘YouTube:隐藏API参数如何泄露

    阅读全文
  • 文章封面

    从隐藏参数到账户接管

    作者:迪哥讲事发布日期:2025-12-25 09:00:00

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    实战|记一次寄生虫站点中的组件Getshell到白嫖day

    作者:迪哥讲事发布日期:2025-12-24 09:00:00

    闲来无事的时候打开一个站点,看似平平无常其实已经被做了蜘蛛劫持通过模拟蜘蛛可以看到这个站点已经被hack干沦陷了本来不想管的,好奇心的驱动下,开始复盘操作仔细看了很久,扫描爆破路径和后台,什么的都没找

    阅读全文
  • 文章封面

    如何发现domxss

    作者:迪哥讲事发布日期:2025-12-23 09:00:00

    如何发现domxss正文之前写过dom xss的一些基础: https://t.zsxq.com/DRGoP里面介绍了基本的source和sink,本质上来讲,寻找dom 类型的xss就是去寻找sou

    阅读全文
  • 文章封面

    高级 CORS 利用技术

    作者:迪哥讲事发布日期:2025-12-22 09:00:00

    免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    意想不到的账号信息泄露

    作者:迪哥讲事发布日期:2025-12-21 09:00:00

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。这是挺久之前的一次授权测试了,回看还是觉得这个漏洞挺有意思的,有时候都在想这似乎是开发老哥给自己留的小后门

    阅读全文
上一页下一页