API认证之越权访问 Api Authentication,可预测的ID号、group号、身份组合、电子邮件作为用户 ID,嵌套对象,可预测的token,使用%0d%0a绕过,使用%00绕过,使用&进行参数污染,其他情况
Read more
作者: 雨苁
别认输,因为没人希望你赢
403 bypass 渗透测试403/401绕过技巧
403 bypass 渗透测试403/401绕过技巧,B1pass3r,fuzzhttpbypass,dontgo403,在 Wayback 中搜索这个子域名,你可以找到任何重要的路径,通过标头名称绕过,通过标头payload绕过,通过 url payload绕过
Read more
json身份认证渗透测试技巧 Json Attack
json身份认证渗透测试技巧 Json Attack,基本凭证,空凭证,空值,数字作为凭证,布尔值作为凭证,对象作为凭证,SQL注入,带有空格的凭据,带有转义字符的凭证,额外键值,凭据中的无效布尔值,嵌套对象,区分大小写测试,字符串中的换行符
Read more
CVE-2024-21733 POC Apache Tomcat请求走私漏洞
CVE-2024-21733 POC Apache Tomcat请求走私漏洞,当 Web 服务器无法正确处理 POST 请求的内容长度时,就会出现客户端不同步 (CSD) 漏洞攻击者可以强制受害者的浏览器取消与网站的连接同步,从而导致敏感数据从服务器和/或客户端连接中走私。
Read more
ESET与巴西联邦警察合作捣毁Grandoreiro银行木马
ESET与巴西联邦警察合作捣毁Grandoreiro银行木马,ESET 已与巴西联邦警察合作,试图破坏 Grandoreiro 僵尸网络。 ESET 通过提供技术分析、统计信息以及已知的命令和控制 (C&C) 服务器域名和 IP 地址为该项目做出了贡献。
Read more