payload admin'or'1'='1'--+ 

2024年10月22日,我在某果应用商店中偶然发现了一款社交软件（以下称某E）,浏览其评论时,一些异常之处引起了我的警觉,于是决定深入调查一番我首先打开抓包软件,再启动某E,此时,软件显示正在下载...

万能密码进入后台，万能密码')or('a'='a 对登陆页面进行跑 sqlmappython sqlmap.py -r 1.txt --batch --random-agent --time-sec=2 --risk 3 --sql-shell 

API接口安全在日常的测试中，我们会经常看到一些接口文档或接口地址，在数字化时代，API成为了数据交互的核心，但同时也带来了安全问题，本文的思路在于总结一些api方面常见的攻击面。笔者在此...

漏洞：短信轰炸漏洞位置：小程序-王牌联盟复现过程：1． 进入小程序-我的-登录进行抓包2.放到并发工具中进行3.并发成功，查看结果

免责声明❝由于传播、利用本公众号'隼目安全'所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号'隼目安全'及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...

利用js在挖掘cnvd通用漏洞中的思路以及附带的实战案例。​一、前言JS渗透测试是一种针对客户端JavaScript代码的安全测试方法，旨在发现和利用应用程序中潜在的安全漏洞。那么在本文中，我们不去...

这周接到上面的通知去给某政府单位进行资产梳理和渗透测试，这个单位的安服非常有实力，曾经成功抵御了某带编号的境外apt组织的攻击并给出溯源报告。一开始领导让我去搞这个项目的时候我是很抵...

某大学的小程序，发现前端一个类似于“查找教师”的功能点，背后的接口存在未授权问题，直接从前端访问还不会触发，通过简单的更改 header 请求头，使得功能点返回成功，进而拿到了全校教师的工...

一，信息收集 我们可以借助搜索引擎或是各种平台来对于渗透的目标进行信息收集,信息收集可以用于各种方面,比如获取后台账号，找寻后台地址。还可以用其对于文件以及视频,ip的来源去进行一个溯源...