漏洞实战
文章平均质量分 82
混入安全圈的程序猿
一个初入安全圈的“资深”程序猿,喜欢分享一些初入安全行业的学习经验,以及遇到的比较有意思的漏洞挖掘过程。 同时也关注行业信息,时不时会分享一些奇奇怪怪的信息和知识~
展开
-
SRC实战:视频剪辑网站免费使用VIP素材“通杀”漏洞?
这种场景,大家在挖类似的网站时,都可以尝试一下。而且不仅仅是局限于视频剪辑类型的,只要是包含这种收费资源的场景的,都可以会有这种漏洞。它本质上还是服务端过于信任前端传递过来的数据,虽然对数据进行了校验,但是没有考虑到数据的完整性校验:即我们篡改了部分数据的这种场景。原创 2024-07-23 09:38:00 · 650 阅读 · 0 评论 -
SRC实战:分享一个不到500块的高危,史低价(在steam都可以上头条了)。
最近工作忙得飞起,挖洞的时间变少了,一般有什么活动之类的才会花个半天时间去尝试一下。今天这个漏洞有点意思,不到500块的高危,但是我个人认为是严重低估了的,但没办法,白帽子在审核面前没人权啊。以下主要是过程与思路分析,没截图,因为几百块的高危不配有图。原创 2024-07-15 11:24:20 · 664 阅读 · 0 评论 -
SRC实战:无中生有的接口和参数?
今天分享的这个漏洞怎么说呢,虽然也是个高危,但是其实挺简单的,一个很eazy的越权,但是我觉得多多少少还是有点意思吧。原创 2024-07-10 09:21:08 · 420 阅读 · 0 评论 -
SRC实战:改个返回包就严重了?
好久没有更新 SRC 实战系列了,刚好前段时间遇到个比较有意思的洞,和大家分享一下吧。原创 2024-07-09 18:58:29 · 852 阅读 · 0 评论 -
SRC漏洞实战:一眼千元
最近一直没有分享SRC的实战经验,主要是最近的洞不是越权就是未授权,也没遇到什么有意思的洞,我感觉是真没啥好分享的,因为技术含量都不高,也没有什么亮点。但是今天分享的这个我感觉有点意思,因为它有意思的点就在于,它完全没有任何技术含量。原创 2024-05-02 08:51:20 · 594 阅读 · 0 评论 -
高危漏洞实战——10分钟捡了一个高危?只要比别人多走一小步
这个漏洞比较有意思,我甚至没有成功登录进去目标站点,这个站有什么功能还不清楚,就花了大概10来20分钟吧,喜提一个高危(虽然是个边缘站,也是也够出去吃几顿大餐了~)。只需要比别人多走一点点~原创 2024-04-27 09:15:22 · 740 阅读 · 0 评论 -
SRC高危漏洞实战——破解加密流程发现的大量信息泄漏
上篇文章[SRC漏洞挖掘——常见数据加密传输方式解析]分析了一下目前常见的WEB端传输加解密流程,下面分享一个我之前实战的一个某SRC高危例子,就是通过分析加密方式篡改了请求包,进而拿到了大量用户敏感数据。原创 2024-04-26 08:45:18 · 1325 阅读 · 0 评论