API接口安全在日常的测试中，我们会经常看到一些接口文档或接口地址，在数字化时代，API成为了数据交互的核心，但同时也带来了安全问题，本文的思路在于总结一些api方面常见的攻击面。笔者在此...

在注册处选择手机注册2.点击立即注册，抓包第一个包放行，第二个包把手机号码改为我们自己的手机号码来接受验证码 此时，成功在我们修改过后的手机号上接收到了验证码，说明此处没有对手机号和...

一，信息收集 我们可以借助搜索引擎或是各种平台来对于渗透的目标进行信息收集,信息收集可以用于各种方面,比如获取后台账号，找寻后台地址。还可以用其对于文件以及视频,ip的来源去进行一个溯源...

不知道大家还记不记得今年八月份的这个瓜 本来以为这个事情已经完了，然后比较巧的是我上个月就正好去给他们单位培训正好又遇到他。培训开始没几天我让他去下个Hae插件，项目地址：https://gith...

同程旅行app存在敏感信息泄露漏洞简述同程旅行app存在敏感信息泄露，攻击者可以通过反编译获得百度token，从而任意调用api付费服务 利用工具进行反编译   

2024年10月22日,我在某果应用商店中偶然发现了一款社交软件（以下称某E）,浏览其评论时,一些异常之处引起了我的警觉,于是决定深入调查一番我首先打开抓包软件,再启动某E,此时,软件显示正在下载...

【RotorGoddess-0day武器】一款拥有“漏洞勘探、威胁匹配、AI智能分析、敏感接口提取的JS扫描工具，取代JSFinder的新式工具”这里的开头，要说说我一个好哥们，因为匿名的关系，所以就不在这里...

在挖掘一些业务的时候，很多系统都会放在一个统一认证中去访问，你只有登录统一认证才能去访问某个系统，那么当我们在挖掘的时候，遇见这样的环境怎么办呢？当然是最简单的修改返回包查看是否可...

本文已获得公众号'重生之成为赛博女保安'授权发布小蹭热度，本来不想写的，属实是在颤音上一天刷到三四十次刷腻了+小猿这边确实有API泄露，哈哈大一也是一最近互联网上最火的游戏可能就是上小猿...

万能密码进入后台，万能密码')or('a'='a 对登陆页面进行跑 sqlmappython sqlmap.py -r 1.txt --batch --random-agent --time-sec=2 --risk 3 --sql-shell