关注
分享
XError_xiaoyu
阿里云专家博主,自己的博客小站https://xiaoyunxi.wiki/ 大二软工本科生,做过很多平凡的事情,目前还在通过自己的努力成为网安与Java开发的全栈工程师,目前还在继续学习.你可以一无所有,但绝不能一无是处,寻找自己的闪光点.
展开
-
上心师傅的思路分享(三)--Nacos渗透
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。原创 2024-06-10 19:40:21 · 1332 阅读 · 1 评论 -
Love-Yi情侣网站3.0存在SQL注入漏洞
Love-Yi情侣网站3.0存在SQL注入漏洞 是一个基于php框架和爱情主题的表白网站。经个人修改和设计更加美观好看,适合哄女朋友开心。本次测试也是对自己手法的一次测试,虽然没有进行绕过,但是还是对于信息收集的思路有了更进一步的提升,测试很有趣,休息的时候玩玩也不错,继续加油。原创 2024-06-03 00:03:30 · 2189 阅读 · 4 评论 -
(1day)致远M3 log 敏感信息泄露漏洞(Session)复现
系统学习web漏洞挖掘以及项目实战也有一段时间了,发现在漏洞挖掘过程中难免会碰到一些历史漏洞,来帮助自己或是提高自己挖洞和及时发现漏洞效率,于是开始创建这个专栏,对第一时间发现的1day以及历史漏洞进行复现,来让自己更加熟悉漏洞类型以及历史漏洞,方便自己在后续的项目实战中,碰到漏洞能够及时去查询和复现.原创 2024-05-08 01:30:34 · 1174 阅读 · 0 评论