某大学的小程序，发现前端一个类似于“查找教师”的功能点，背后的接口存在未授权问题，直接从前端访问还不会触发，通过简单的更改 header 请求头，使得功能点返回成功，进而拿到了全校教师的工...

威胁情报平台微步https://x.threatbook.com/安恒https://ti.dbappsecurity.com.cn/360https://ti.360.cn/https://ti.360.net/奇安信https://ti.qianxin.com/启明星辰https://ti.venuseye.com.cn...

java代码审计java 代码审计整理，目录如下一、sql注入 二、命令执行 三、文件上传 四、xss 五、目录遍历 六、CSRF 七、XXE 八、SSRF 九、url跳转 十、不安全反序列化 十一、fastjson 十二、log4...

在注册处选择手机注册2.点击立即注册，抓包第一个包放行，第二个包把手机号码改为我们自己的手机号码来接受验证码 此时，成功在我们修改过后的手机号上接收到了验证码，说明此处没有对手机号和...

API接口安全在日常的测试中，我们会经常看到一些接口文档或接口地址，在数字化时代，API成为了数据交互的核心，但同时也带来了安全问题，本文的思路在于总结一些api方面常见的攻击面。笔者在此...

命令执行1、通过一些关键字可以定位到一、java命令执行函数 runtime processBuilder ScriptEngineManager yaml groovy 二、SPEL表达式 （使用SimpleEvaluationContext修复） SpelExpressionPars...

同程旅行app存在敏感信息泄露漏洞简述同程旅行app存在敏感信息泄露，攻击者可以通过反编译获得百度token，从而任意调用api付费服务 利用工具进行反编译