记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

SRC另类思路分享:不受限制的资源调用

0x00前言对于SRC的挖掘思路,很多师傅已经给出了挖掘实用技巧。今天带来一篇本人的思路分享:不受限制的资源调用。1.进入正题相信在各位的学习、生活中都遇到过这样的页面此处我以某厂商的云服务购买为例,由图可知,需要我们输入姓名、身份证、联系电话等。如果按照我们普通的挖掘思路,此处可能存在的漏洞是不是有SQL、XSS、越权查看他人提交信息、CSRF等等,其实此处可以利用一种新的思路,我称之为不受限制的资源调用。
发布时间:2022-05-17 09:47 | 阅读:5094 | 评论:0 | 标签:src

SRC挖掘思路(六)

文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!) 本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码! 【前言】 作为一名热爱读书看报的三好学生,我是不会放过任何一本高质量书籍的,但今天的这个站点需要实名以及一大堆认证才能进行阅读。可三好学生经不起等待,于是就有了此次薅羊毛之路 【得不到的就更加爱】 先看看这陈列的pdf文档,就忍不住想一头扎进书海里遨游 可点进去一看 不信邪的三好学生选择直接点击下载,但目标站点自动跳转至注册界面,又是实名认证,又要选择所在机构,属于是缩短我学习时间了。
发布时间:2022-05-06 16:52 | 阅读:20263 | 评论:0 | 标签:JS SRC src

Src挖掘技巧分享 | 谈谈业务逻辑漏洞

本文首发于奇安信攻防社区 原文链接:https://forum.butian.net/share/1453 谈谈业务逻辑漏洞业务逻辑漏洞简介 业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。 简单理解:就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞 逻辑漏洞还是一种虽然没有在owasp top10 中提及到,但是往往会存在的漏洞。好像一名隐士,大隐隐于市,然而造成的破坏可能一点不比sql注入,xss等漏洞小。如下是逻辑漏洞的top10挖掘方向: 根据漏洞出现位置来总结 逻辑漏洞大概出现在如下几处。
发布时间:2022-05-01 23:21 | 阅读:37004 | 评论:0 | 标签:漏洞 src

Src挖掘技巧分享 | 谈谈业务逻辑漏洞

本文首发于奇安信攻防社区 原文链接:https://forum.butian.net/share/1453 谈谈业务逻辑漏洞 业务逻辑漏洞简介 业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。 简单理解:就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞 逻辑漏洞还是一种虽然没有在owasp top10 中提及到,但是往往会存在的漏洞。好像一名隐士,大隐隐于市,然而造成的破坏可能一点不比sql注入,xss等漏洞小。如下是逻辑漏洞的top10挖掘方向: 根据漏洞出现位置来总结 逻辑漏洞大概出现在如下几处。
发布时间:2022-04-25 18:09 | 阅读:22211 | 评论:0 | 标签:漏洞 cookie CVE-2017-12635 SESSION SRC 业务逻辑漏洞 垂直越权 支付逻辑漏洞 水平越权

【SRC挖洞经验】Amazon S3 Bucket桶接管教程

在挖掘HackerOne过程中会经常遇到Bucket桶接管漏洞,Amazon 的桶是最多的 有些网站访问是这样,也可能是其他页面,nuclei扫描出来会提示 存在Bucket 接管漏?
发布时间:2022-04-24 23:39 | 阅读:26393 | 评论:0 | 标签:渗透测试 src

活动 | 6家SRC联合花式宠溺!这个4月你确定不来?

活动简介人间最美四月天,不负春光与时行。值此四月,货拉拉SRC联合华住SRC、平安SRC、唯品会SRC、WiFi SRC、中通SRC共同推出“四月联盟”活动,各家SRC
发布时间:2022-04-17 00:09 | 阅读:28041 | 评论:0 | 标签:src

6家SRC联合花式宠溺!这个4月你确定不来?

人间最美四月天,不负春光与时行。值此四月,货拉拉SRC联合华住SRC、平安SRC、唯品会SRC、WiFi SRC、中通SRC共同推出“四月联盟”活动,各家SRC奖励加码
发布时间:2022-04-15 16:07 | 阅读:24256 | 评论:0 | 标签:src

SRC挖掘思路(二)

文章来自" bgbing星球",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!) 本文来自真实的挖掘过程,所以?
发布时间:2022-04-14 16:54 | 阅读:22344 | 评论:0 | 标签:SRC 挖掘思路 src

SRC挖掘思路(三)

文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!) 本文来自真实的挖掘过程,所以?
发布时间:2022-04-14 16:54 | 阅读:23516 | 评论:0 | 标签:SRC XSS 挖掘思路 未授权访问 src

SRC挖掘思路(四)

本文只供学习参考!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责! 文章来自" bgbing安全",未经授权,禁?
发布时间:2022-04-14 16:54 | 阅读:23389 | 评论:0 | 标签:SRC SRC挖掘思路 任意文件上传 信息泄露 储存型XSS 挖掘思路 src

SRC挖掘思路(一)

文章来自" bgbing星球",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!) 本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码! 开始 首先在登录处输入手机号,发送验证码 看前端提示是只能用+86手机号登录,境外手机号不能 抓包看看发送验证码是哪个包,这里是我抓包修改过的 原先包的region应该是CN,mobile是+86手机号,可见我们修改为香港的+852也能发送验证码成功,返回包的 code为200,status为ok即为发送成功。
发布时间:2022-04-14 14:11 | 阅读:20910 | 评论:0 | 标签:SRC SRC挖掘思路 挖掘思路 绕过 src

记一次不平凡的企业src任意用户注册

前言:Hello,各位师傅们好,本文记录一个菜鸡对某企业SRC任意用户注册漏洞挖掘的一些思路和总结。所用的并非是所有方法,漏洞挖掘也涵盖运气概率特别是逻辑漏洞千变万化。如有错误,麻烦大佬们指出!请各位大佬勿喷。谢谢师傅们!正文:常规思路:信息收集 子域名 边缘资产。随后找到某网站注册功能点。使用手机邮箱为自己小号邮箱xxxxxxxxx,手机号填写xxxxxxxxxxx(受害者)其他信息随意填写,单击获取动态码,会向发送验证码信息。
发布时间:2022-04-08 09:55 | 阅读:32578 | 评论:0 | 标签:src

爱奇艺安全 招聘 71SRC 安全运营

工作职责 负责爱奇艺安全应急响应中心(71SRC)的漏洞验证、审核,提出建议改进扫描策略和检测策略负责管理71SRC微信公众号、微信群和QQ群。维护和?
发布时间:2022-04-03 00:25 | 阅读:374724 | 评论:0 | 标签:招聘 安全运营 src 安全

一款SRC密码生成工具

一款SRC密码生成工具,尝试top字典无果后,可以根据域名、公司名等因素来生成特定的字典0x01PwdBUD仅需三个参数,以域名或公司名为索引生成字典。0x02
发布时间:2022-04-02 15:05 | 阅读:20839 | 评论:0 | 标签:src 密码

活动 | 360SRC春日活动 | 不如挖洞!

出门吹风不如宅家挖洞~还有漏洞翻倍券奖励等你来拿!(文末有好礼)活动简介回想上一次搞活动还是在上一次正值春暖花开鸟语花香之际怎么能少得?
发布时间:2022-03-30 18:36 | 阅读:23572 | 评论:0 | 标签:src 360

记如何简单的挖掘edusrc

文章来源:先知社区(满腔热血付于海)原文地址:https://xz.aliyun.com/t/103100x01 前言闲来没事,突然想到能不能挖一手edu的漏洞,打开edusrc高校排行榜随机抽取了一位幸运儿,然后开始对此开始测试。0x02 信息搜集第一步肯定是信息收集,比较懒直接就收集子域名,什么whoami,资产,CDN管都不管,开启oneforall就是开干。兴高采烈地的打开扫完的文档,怎么就这几个站点,这下难住了一个一个网站测试过去,都没有很好的结果,都是一些危害较低的。仔细想想,又回来信息收集,收集一手c段。
发布时间:2022-03-21 09:41 | 阅读:37648 | 评论:0 | 标签:src

活动 | 微众银行SRC首期隐私合规漏洞专项活动开启!

活动简介共同守护用户隐私的同时,还可获得高额奖励,单个漏洞最高奖励1w元,各位大佬们整起来!活动时间2022年2月17日—3月3日 活动地点https://secur
发布时间:2022-02-17 18:41 | 阅读:43211 | 评论:0 | 标签:漏洞 合规 src 银行

活动 | ZSRC六周年|虎跃新春·打响新年第一战

活动简介ZSRC六周年|虎跃新春·打响新年第一战猪八戒网安全应急响应中心六岁啦!大家还记得我们是什么时候成立的吗?最下方查看原文公众号后台回?
发布时间:2022-02-08 18:34 | 阅读:38654 | 评论:0 | 标签:src

活动 | SFSRC安全情报奖励计划正式运行

活动简介顺丰《SFSRC安全情报评分标准》正式开启运行。活动时间2022年1月26日至以后活动地点线上主办方顺丰SRC活动详情一、安全情报说明安全情报按危害程度分五个等级,分别为【严重】、【高】、【中】、【低】、【无】五个等级,情报兑换积分,最高为100分。SFSRC结合利用场景中事件的严重程度及利用难度等综合因素给予相应定级。安全情报提供者必须验证并提供相关证明材料(不限于文档/截图/视频)用于证明安全情报真实有效。二、入侵/数据泄露情报评级标准安全情报分为入侵/数据泄露情报、安全合规情报两大类。
发布时间:2022-02-07 18:37 | 阅读:25995 | 评论:0 | 标签:src 情报 安全

ASRC 2021年电子邮件安全趋势回顾

2021年依旧笼罩在新冠疫情之下,相较于 2020 年, 大家也都慢慢开始适应WFH (Work From Home 居家办公) 的工作型态,信息安全设备的部署不再只是慌乱应对远程工作所带来的安全隐患,而是全新型态的适应性部署。全球威胁邮件分布图电子邮件安全趋势守内安与 ASRC 研究中心针对去年邮件安全汇整,相较于2020年,2021年度的垃圾邮件总量增长幅度约为8%,但垃圾邮件的大小却增长了43%,这对邮件服务器的储存空间,以及邮件扫描过滤的效能带来了不小负担;但垃圾邮件乱枪打鸟式的滥发滥寄情况,却呈现下降的趋势。
发布时间:2022-01-24 11:29 | 阅读:47986 | 评论:0 | 标签:守内安 电子邮件安全 研究报告 src 安全

360全新推出车联网安全守护之赏金计划,助力车企建立车联网SRC平台

为进一步支持新能源汽车产业高质量发展,做好新能源汽车推广应用工作,近日,财政部、工信部、科技部、发改委联合发布《关于2022年新能源汽车推广应用财政补贴政策的通知》指出:要进一步压实新能源汽车生产企业主体责任,指导企业健全安全管理机制,强化产品质量保障能力,满足国家关于汽车数据安全、网络安全、在线升级等管理要求。
发布时间:2022-01-05 18:41 | 阅读:39593 | 评论:0 | 标签:src 安全 网安 360

活动 | 社恐萌妹探秘OSRC年度颁奖,带来最新挖洞福利

 活动简介:12月4日OPPO安全应急响应中心2021年杰出安全研究者颁奖圆满落幕~年度颁奖有哪些惊喜行程?获奖大佬有什么挖洞秘诀?新年将至,OSRC又有啥挖洞活动?跟着萌妹记者,一起探秘年度颁奖现场吧~您的浏览器不支持video标签 没错,OSRC为各位师傅准备的双旦礼物,就是2022年限定新春礼盒还有花式小欧手办和B站大会员哦活动时间:2021年12月15日00:00至2022年1月5日23:59(北京时间) 主办方:OPPO安全应急响应中心 活动详情:OSRC双旦活动规则活动范围:· OPPO自有业务的安全漏洞。
发布时间:2021-12-14 18:27 | 阅读:44431 | 评论:0 | 标签:src

PSRC 11月奖励榜单 | Top1 月入4w+,厉害了!

活动简介冬天迈着沉重的脚步,缓缓而来,树木褪去绿叶,以崭新的样貌迎接冬日暖阳,PSRC 11月最新英雄榜单也如期而至了。在本次榜单中,Broken_5以4.46万的月奖励,稳坐PSRC 11月Top1宝座,这是他继9月进入Top10榜单以来首次登顶,排名从第三名、第二名,至第一名!他只用了2个月!qwer123上升1位,进入Top3。此外,LO7UP、墨者丶的成长也十分令人瞩目。LO7UP从8月份的第7名,上升至第4名,墨者丶从第8名上升至第5名,他们正在用成长证明自己的实力。
发布时间:2021-12-09 18:28 | 阅读:43494 | 评论:0 | 标签:src

活动 | ZSRC年终答谢活动,感恩有你!

活动简介2021年,共有114位安全专家通过猪八戒网安全应急响应中心向平台报告安全问题。我们对这些安全专家表示由衷的感谢!年终答谢活动,更多奖?
发布时间:2021-12-06 21:11 | 阅读:35809 | 评论:0 | 标签:src

#PSRC 2021年度评选# 四大奖项启动,丰厚奖金等你来拿!

活动简介匆匆流年,转瞬即过,2021年转眼又要画上句号。平安SRC推出2021年度评选,设置了年度精英白帽子、最具影响力白帽子、优秀白帽安全团队、最具价值漏洞奖4个奖项和丰厚的奖品,以鼓励2021年度的活跃Top白帽,为2021完美收尾。接下来让我们一起看看每个奖项和奖励具体情况吧! 活动时间2021年1月1日~12月31日 活动地点线上 主办方平安SRC 活动详情一、PSRC 2021年度精英白帽子本奖项旨在评选出2021年度为PSRC平台安全做出卓越贡献的实力白帽。
发布时间:2021-11-25 18:24 | 阅读:62334 | 评论:0 | 标签:src

活动 | 中通SRC11月众测活动

 活动简介中通安全翻倍积分活动,速来! 活动时间11月19日-11月29日翻倍积分活动 活动地点线上 主办方中通安全 活动详情「额外奖励京东卡」活动?
发布时间:2021-11-23 18:26 | 阅读:35657 | 评论:0 | 标签:src

活动 | PSRC隐私漏洞专项活动开启!奖励翻倍!

PSRC官网:https://security.pingan.com/ 活动简介为了更好的保护用户的隐私安全,平安安全应急响应中心特别发起隐私漏洞专项活动,欢迎广大白帽子加入隐?
发布时间:2021-11-19 21:03 | 阅读:66433 | 评论:0 | 标签:漏洞 src

角逐年度安全SRC | WitAwards 2021大众评选火热进行中

近年来,企业SRC(安全应急响应中心)如雨后春笋般涌现,已逐渐成为许多企业响应与处理安全问题的有效解决方案。尊重安全漏洞,尊重白帽子,SRC开放的心态和严谨的态度正在深刻影响着中国网络安全行业。为洞悉全球安全变局,刷新行业安全认知,共话安全生长趋势,CIS 2021网络安全创新大会将于12月1日-2日在上海举办,届时万众瞩目的WitAwards 2021中国网络安全行业年度评选的获奖结果也将同时揭晓。
发布时间:2021-11-12 10:27 | 阅读:87600 | 评论:0 | 标签:src 安全

活动 | BIGO SRC双十一活动重磅来袭!多重奖励等你来!

活动时间11月8日-11月14日 活动地点线上 主办方BIGO安全响应中心 活动详情【三倍奖励】活动期间(11月8号—11月14号)内提交高危、严重有效报告均享受三倍安全币奖励。【推荐新人奖】2021年11月8日前在BIGO SRC提交过有效报告的白帽子,在活动期间推荐新白帽子加入BIGO SRC且新白帽子在活动期间内提交有效报告的,推荐者获得新人第一个有效报告的基础奖励20%安全币。
发布时间:2021-11-08 18:32 | 阅读:55729 | 评论:0 | 标签:src

ASRC 2021年第三季电子邮件安全观察

本季垃圾邮件总体数量并无明显波动,但钓鱼邮件仍然没有平息。利用CVE-2018-0802程序漏洞伪装成订单邮件的攻击,数量上相较上季略有趋缓,但仍需要特别留意;冒充企业的伪造邮件攻击,较上季增长约 1.5倍,而针对个人诈骗邮件的数量较上季增长了 1.2倍,个人与企业均须时刻提防中招。守内安信息科技 (上海) 与 ASRC 研究中心整理本季较为特殊的样本如下:钓鱼邮件通过HTML 标签挑选攻击目标在第三季,我们发现特别的钓鱼邮件样本,这个样本在 Apple Mac 的默认邮件客户端开启时,会直接显示出可点击的链接;但若在其他的微软操作系统常见的邮件客户端,则不会显示出可点击的链接。
发布时间:2021-10-22 18:29 | 阅读:49486 | 评论:0 | 标签:src 安全

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云