全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    记一次魔改若依的渗透测试

    作者:迪哥讲事发布日期:2025-04-25 22:50:00

    开局登陆框,可账号密码登录,手机号验证码登录。 短信轰炸测试系统白名单,所以就不着急登录后台,首先关注验证码这块,输入手机号,看看是否会发送验证码,测试 发现能收到验证码,ok

    阅读全文
  • 文章封面

    如何绕过签名校验

    作者:迪哥讲事发布日期:2025-04-24 17:00:00

    正文注:这个思路外面公众号没人公开讲过签名的作用 先看一个请求repeat里面一个正常情况下是这个样子的:如果篡改之后:如果改变其中某些参数的值,会报错非法请求这类错误其实就是因为里面的参数被签名了,

    阅读全文
  • 文章封面

    价值$10,000的漏洞

    作者:迪哥讲事发布日期:2025-04-23 18:09:39

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    Web漏洞挖掘指南 -SSRF服务器端请求伪造

    作者:迪哥讲事发布日期:2025-04-22 17:30:00

    一、漏洞原理及触发场景0x1web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为

    阅读全文
  • 文章封面

    api漏洞挖掘

    作者:迪哥讲事发布日期:2025-04-21 20:24:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    【2025年HVV】HVV招聘

    作者:迪哥讲事发布日期:2025-04-20 12:00:00

    招聘岗位:网络安全工程师年龄要求:2001年及之前出生(技术水平好可放宽年龄限制)按月结款岗位职责:负责甲方客户设备监测、巡检、排查等工作,保障网络安全稳定运行。负责协调各方资源,高效推进项目进展。负

    阅读全文
  • 文章封面

    利用自动化脚本来加密破解

    作者:迪哥讲事发布日期:2025-04-19 17:04:03

    正文在收集资产的过程中看到的一个登录页面,由于验证码一直保持不变,于是乎就开始了爆破但是发现一个比较奇怪的地方,就是输入相同的密码的时候,每次出现的结果不一样,如图所示:一开始怀疑是rsa加密了,但是

    阅读全文
  • 文章封面

    薅羊毛了!

    作者:迪哥讲事发布日期:2025-04-18 08:30:00

    训练营价格:身份价格SRC学员免费红队学员免费SRC帮会成员免费团队成员9.9元迪哥讲事粉丝9.9元其他188元参与转发活动9.9元回复【加群】进入微信交流群回复【SRC群】进入SRC-QQ交流群回复

    阅读全文
  • 文章封面

    记一次对湾湾站点的getshell到网

    作者:迪哥讲事发布日期:2025-04-17 23:09:15

    闲来无事 随手打开全球被黑站点 看看有没有高手留下的足迹打开之后403随便打开一篇文章无果 可能是内嵌.利用云溪收集了下信息。一阵踌躇莫展的时候 想起403页面发现后台反手单引号测出注入Sqlmap梭

    阅读全文
  • 文章封面

    昨天抖音掉洞,今天商城捡洞

    作者:迪哥讲事发布日期:2025-04-16 23:02:43

    No.0前言昨天刷抖音今天逛商城,玩的就是一个休闲娱乐,主打的就是个有手就行。No.1任意用户登录点击某小程序后,点击同意的瞬间开启抓包在{}中随意填上code值拦截返回包并来到修改返回包步骤mobi

    阅读全文
  • 文章封面

    如何将高危提升为严重

    作者:迪哥讲事发布日期:2025-04-15 21:21:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    辟谣!

    作者:迪哥讲事发布日期:2025-04-14 23:39:40

    正文昨天在开bp测试的时候,突然看到一个令人吃惊的消息:GitHub 疑似屏蔽了所有中国 IP 的访问。心里一惊,github是全球软件和信息从业者必备的资源库啊,要是真屏蔽了,那还了得!我抱着怀疑的

    阅读全文
  • 文章封面

    权限绕过骚思路

    作者:迪哥讲事发布日期:2025-04-13 22:38:18

    权限绕过骚思路正文越朴实的有时候越会被忽略正常情况下,API 路由应该是大小写严格敏感或统一处理,比如 /metrics 和 /METRICS 应该是一样的处理方式。但这个系统中:/metrics 返

    阅读全文
  • 文章封面

    RCE

    作者:迪哥讲事发布日期:2025-04-12 21:01:34

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    漏洞挖掘的几种思维

    作者:迪哥讲事发布日期:2025-04-11 20:30:00

    No.0推荐语本地知识库里,看到的一位大佬的分享,内容很优秀,认真通读一遍,深切的体会到了自己与大佬之间的差距,其中避免原子性思维真的让我茅塞洞开,分享给喜欢挖洞的同学。,我是前言漏洞挖掘-思想建设最

    阅读全文
  • 文章封面

    打造自己专属的漏洞赏金搜索引擎

    作者:迪哥讲事发布日期:2025-04-10 22:53:33

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay

    阅读全文
  • 文章封面

    通过发现隐藏的参数值实现任意用户登录

    作者:迪哥讲事发布日期:2025-04-09 20:46:59

    0x01 前言 我一直认为漏洞挖掘的根本在于信息收集,如:子域名,隐藏的接口,隐藏的参数等等。下面我将分享一次通过发现隐藏的参数从而实现任意用户登录的经历。0x02 漏洞背景 一次

    阅读全文
  • 文章封面

    Src实战

    作者:迪哥讲事发布日期:2025-04-08 21:19:48

    漏洞描述:越权查看他人收货地址导致的信息泄露漏洞等级:高漏洞类型:越权漏洞危害:信息泄露漏洞详情:点击下方小程序在商品进行下单时 进行选择地址点击编辑抓包 用BurpSuite进行抓包修改addres

    阅读全文
  • 文章封面

    赏金$10000的漏洞

    作者:迪哥讲事发布日期:2025-04-07 21:46:55

    背景本次分享一个最近认为非常有趣的漏洞,该漏洞最终获得10000刀换算为人民币大概7w多的现金奖励。漏洞原理并不复杂,胜在细心,You Do You can 的水平。正文前段时间,我在寻找 Goog

    阅读全文
  • 文章封面

    回顾经典:击穿星巴克获取 1 亿用户详细信息

    作者:迪哥讲事发布日期:2025-04-06 22:52:01

    回顾新姿势:击穿星巴克获取 1 亿用户详细信息背景 有一种攻击叫做: 次级上下文穿越攻击, 也许单听名字你不理解这是怎么样一种攻击。但是下面我将用星巴克被攻陷的一个真实案例来跟你介绍这种巧妙的攻击方式

    阅读全文
  • 文章封面

    海外实战系列

    作者:迪哥讲事发布日期:2025-04-05 21:58:02

    01前言分享两个海外大型SRC厂商的XSS成功绕过WAF的案例,觉得挺有趣的,遂整理成文,大佬们轻喷~02XSS绕过01某全球顶级网络设备商首先,URL是这样的 https://axxx.test.

    阅读全文
  • 文章封面

    上课啦 | 限时福利

    作者:迪哥讲事发布日期:2025-04-04 21:46:00

    正文一晃四月份了,知识星球开了快两周年了,为庆祝即将到来的两周年星球为新用户特此提供 66元 优惠券星球自前年开设以来,已经运营了近两年,目前已经累计更新了近1000+主题,一直在日更,好评连连,更有

    阅读全文
  • 文章封面

    Web登录一把梭

    作者:迪哥讲事发布日期:2025-04-03 21:52:51

    本文约5000字,阅读约需11分钟。做渗透测试的过程中,碰到过各种各样千奇百怪的Web系统。因此,打算写一篇聚焦于如何获得Web系统权限这个主题的文章。因为其中的复杂性和特殊性,所以部分内容将通过通用

    阅读全文
  • 文章封面

    通过操控会话绕过OTP,实现未授权访问

    作者:迪哥讲事发布日期:2025-04-02 20:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay

    阅读全文
  • 文章封面

    【SRC实战】支付逻辑漏洞挖掘

    作者:迪哥讲事发布日期:2025-04-01 23:07:22

    前言记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。这是一个新能源汽

    阅读全文
  • 文章封面

    利用js挖掘漏洞

    作者:迪哥讲事发布日期:2025-03-31 22:43:24

    前言:在漏洞挖掘中,通过对js的挖掘可发现诸多安全问题,此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。漏洞挖掘一、js中的敏感信息泄露1、默认用户名密码2、硬编码密码、其他秘钥泄露

    阅读全文
  • 文章封面

    从AWVS低危到通杀任意文件读取

    作者:迪哥讲事发布日期:2025-03-30 22:57:41

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使

    阅读全文
  • 文章封面

    通过不断FUZZ获取到万元赏金

    作者:迪哥讲事发布日期:2025-03-29 23:15:06

    0x01 前言 下午,一个老朋友发来一批资产让我找个有效漏洞,原因是厂商弄活动,提交有效漏洞可获取其奖品,那个奖品对朋友很有吸引力。0x02 漏洞背景 一个后台系统,称其为http

    阅读全文
  • 文章封面

    海外SRC漏洞挖掘|助你快速成为百万赏金猎人

    作者:迪哥讲事发布日期:2025-03-28 22:06:13

    0x01 培训介绍在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的

    阅读全文
  • 文章封面

    实战-菠菜通杀

    作者:迪哥讲事发布日期:2025-03-27 20:30:00

    01前言公众号的粉丝、一位大师傅发来一个站,问我有没有兴趣试试,我点开一看,哇靠,这不是菠菜嘛,太坏了,必须渗透一下,于是有了这篇小通杀案例02初见端倪简单看了看各个功能点,大部分是一些静态展示内容,

    阅读全文
上一页下一页