API认证之越权访问 Api Authentication,可预测的ID号、group号、身份组合、电子邮件作为用户 ID,嵌套对象,可预测的token,使用%0d%0a绕过,使用%00绕过,使用&进行参数污染,其他情况
Read more
标签: 黑客技术
403 bypass 渗透测试403/401绕过技巧
403 bypass 渗透测试403/401绕过技巧,B1pass3r,fuzzhttpbypass,dontgo403,在 Wayback 中搜索这个子域名,你可以找到任何重要的路径,通过标头名称绕过,通过标头payload绕过,通过 url payload绕过
Read more
json身份认证渗透测试技巧 Json Attack
json身份认证渗透测试技巧 Json Attack,基本凭证,空凭证,空值,数字作为凭证,布尔值作为凭证,对象作为凭证,SQL注入,带有空格的凭据,带有转义字符的凭证,额外键值,凭据中的无效布尔值,嵌套对象,区分大小写测试,字符串中的换行符
Read more
CVE-2024-21733 POC Apache Tomcat请求走私漏洞
CVE-2024-21733 POC Apache Tomcat请求走私漏洞,当 Web 服务器无法正确处理 POST 请求的内容长度时,就会出现客户端不同步 (CSD) 漏洞攻击者可以强制受害者的浏览器取消与网站的连接同步,从而导致敏感数据从服务器和/或客户端连接中走私。
Read more
hakrevdns 批量执行反向DNS查找的工具
hakrevdns 批量执行反向DNS查找的工具,可以结合prips进行批量的IP段反向域名查询
小型、快速、简单的工具,用于集体执行反向DNS查找。
你向它提供IP地址,它返回主机名。
这是从 IP 地址查找属于公司的域和子域的有用方法。