XSS XSS-写入一句话 XSS写入一句话今天测试公司内部服务器,发现一个很有意思的问题,在提交图片时,修改文件类型,导致上传的文件丢失后缀,经过测试,默认解析html。 阅读全文 2017-03-20 秋边丶 0 条评论
逻辑漏洞 渗透逻辑漏洞-手稿 支付漏洞APP满减通过手机号、机器码定位用户,首单满减或新用户立减!1.绕过填写电话(抓包改包),提交订单;2.通过删除APP数据记录(008神器),模拟出新的机器码;http://www.wooyun.org/bugs/wooyun-2010-0125060 (饿了么) 阅读全文 2017-03-20 秋边丶 0 条评论
逻辑漏洞 APP漏洞挖掘之-逻辑漏洞 [TOC]浅谈APP逻辑漏洞挖掘注册泄漏1.注册用户时,键入名称,查看返回包,存在用户数据任意用户登入1.登入时抓包,修改登入的ID号; 阅读全文 2017-03-20 秋边丶 0 条评论
逻辑漏洞 十大漏洞之-逻辑漏洞 十大漏洞之-逻辑漏洞[TOC] 在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。 阅读全文 2017-03-14 秋边丶 0 条评论