3/6 致微软的一封信:揭露 VSCode 扩展的设计缺陷,在我们对市场进行研究的过程中,我们发现微软实施了数量惊人的安全设计缺陷,这些缺陷为威胁者提供了获得信誉和访问权限的绝妙方式。现在,大多数 IDE 都是不受管理的,所以这并不是针对微软的
Read more
分类: 黑客技术
nowafpls Burp插件通过插入垃圾数据来绕过WAF
nowafpls Burp插件通过插入垃圾数据来绕过WAF,大多数 Web 应用程序防火墙 (WAF) 对发送请求正文时可以处理的数据量都有限制。这意味着对于包含请求正文的 HTTP 请求(即 POST、PUT、PATCH 等),通常只需在请求正文前面添加垃圾数据即可绕过 WAF
Read more
IDOR漏洞挖掘技巧 越权漏洞waf绕过
IDOR漏洞挖掘技巧 越权漏洞waf绕过,如果可能,创建两个帐户,否则首先枚举用户。
2. 检查端点是私有的还是公共的,是否包含任何类型的id参数。
3. 尝试将参数值更改为其他用户id,看看是否对他们的帐户有任何影响。
IDOR漏洞挖掘技巧 绕过防火墙 bypass 403
IDOR 是 “Insecure Direct Object Reference” 的缩写,中文通常译作“不安全的直接对象引用”。发生在应用程序直接访问对象(如数据库记录、文件等)而不进行适当的权限验证时。攻击者可以通过猜测或操纵引用的参数,访问未经授权的数据或功能。
Read more
BurpAPIFinder 用于敏感信息提取的burpsuite插件
BurpAPIFinder 用于敏感信息提取的burpsuite插件,提取网站的URL链接和解析JS文件中的URL链接(不单单正则、支持多种模式提取),前段界面可自行定义敏感关键词、敏感url匹配,界面可配置的开启主动接口探测、敏感信息获取,集成主流攻防场景敏感信息泄漏的指纹库
Read more