秋边丶 发布的文章

XSS-写入一句话


XSS写入一句话

今天测试公司内部服务器,发现一个很有意思的问题,在提交图片时,修改文件类型,导致上传的文件丢失后缀,经过测试,默认解析html。


渗透逻辑漏洞-手稿


支付漏洞

APP满减

通过手机号、机器码定位用户,首单满减或新用户立减!

1.绕过填写电话(抓包改包),提交订单;
2.通过删除APP数据记录(008神器),模拟出新的机器码;

http://www.wooyun.org/bugs/wooyun-2010-0125060  (饿了么)


十大漏洞之-逻辑漏洞


十大漏洞之-逻辑漏洞

[TOC]

 在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。