SRC挖掘之敏感信息泄露
识别敏感信息 敏感信息概念
法律角度:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息
更广泛的角度:一切能够被利用的信息都称为敏感信息
敏感信息的分类
企业敏感信息
不同企业对敏感信息的定义各异,其危害评判标准也各不相同。
(1…
一句话学会签约漏洞
比如要去购买会员,新会员 6 元特价包月只有一次机会,你用支付宝支付一次,然后又用微信支付一次,如果会员成功变成两个月,那就说明存在签约漏洞!
SRC挖掘之新手如何快速挖到第一枚漏洞(下)
前言 在上一篇文章中,我们详细介绍了新手在 SRC(Security Response Center)挖掘过程中如何快速找到第一个漏洞,包括短信轰炸、并发、CSRF 和越权等常见漏洞的挖掘方法。为了进一步提升漏洞挖掘的效率和质量,我们还需要具备一个良好的习惯。
在 SRC…
SRC挖掘之新手如何快速挖到第一枚漏洞(上)
作为一名初学者,如何在 SRC(Security Response Center)中快速提交第一个有效漏洞并赚取赏金是许多新手关注的问题。本文将为你推荐几种常见且相对容易挖掘的漏洞类型,并提供详细的挖掘思路和方法,帮助你快速上手。正所谓 “高危挖不动低危拿来凑”。 短信轰炸漏洞…
SRC挖掘之逻辑漏洞
什么是业务逻辑漏洞 逻辑漏洞是指在系统、应用程序或其他系统组件中存在的逻辑错误或缺陷,可能导致安全问题或数据泄露。这些漏洞通常是由于设计或实现过程中的错误、不完整或不合理的逻辑判断所导致的。攻击者可以利用这些漏洞来获取未经授权的访问权限、篡改数据或执行其他恶意操作…
参加某市攻防演练的小总结
活动复盘 由于本人太菜了,本次活动在重点靶标范围内收获甚微。
先吐槽一下主办方给的靶标,先不说有很多都是内网地址或无法访问的地址(有违规下线之嫌),即使能够正常访问,都临时加上了创宇盾,这让我怎么测啊😁。还有奇葩的规则,使得数据分的含金量一下子降到谷底,关键还是得权限分…
SRC挖掘之信息收集
网页插件篇 以上是我在使用的 chrome 插件,非常好用,懂的都懂🥰
主要包括以下几类:
信息搜集类
代理工具
hack 工具
开发调试类
反蜜罐工具
体验优化类
工具脚本篇
信息打点必备工具
ARL (灯塔),oneforall,URLfinder, httpx…
PWN笔记之基础
汇编基础 掌握程度:看懂汇编,分析 gadget,单步调试理解寄存器状态
参考文章:x86_64 汇编之一:AT&T 汇编语法_x86_64 汇编 at&t-CSDN 博客
寄存器
常用的 x86 CPU 寄存器有 8 个:EAX 、EBX、ECX、EDX、EDI、ESI、E…
探索Web3博客:下一代去中心化内容平台
随着区块链技术的迅速发展,Web3 博客成为了一个备受关注的话题。Web3 博客是传统中心化博客平台的一种新型演进,它将区块链和去中心化技术应用于内容创作和分发过程中,旨在为用户提供更大的控制权和去中心化的体验。 传统的中心化博客平台通常由集中式的服务器托管和管理…