最近参加了一个赏金计划,然后在单点登录中发现了一个涉及比较多站点的漏洞,测试过程比较有意思,所以分享一下。基础解答:一般我们在挖洞的时候,很关键的就是要观察数据流,你可以选择用burp,当然也可以使用浏览器的F12(俗称浏览器F12大法)来观察数据流向。以下将用户中心登录站点称为passport.AAA.com,用户在登陆*.AAA.com的时候可以选择先登...
近日,在“2019净网专项行动”中重庆市渝中警方成功破获一起涉嫌利用某电商平台系统漏洞,疯狂实施盗窃资金账户的“黑客”团伙犯罪案件,涉案金额高达140余万元。从今年6月开始至11月9日,渝中警方相继在全国十余省市抓获该案犯罪嫌疑人33名,平均年龄只有20岁左右。“黑客”篡改平台数据 多种方式套现今年5月,渝中警方接到辖区某商业管理公司报警,称他们的电商平台的...
首先这个漏洞在2019-6-26被人爆出,下面是网上爆出来的expPOST /seeyon/htmlofficeservlet HTTP/1.1Content-Length: 1111User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; W...
在美国佛州Riviera City成为首个同意向黑客支付赎金(高达60万美元)的城市之后,佛州又有一个城市宣布采取相同的应对方式。莱克城(Lake City)位于佛州北部,拥有6.5万人口,在本次黑客攻击中各项市政工作已经停摆两周时间。在本周一的市政紧急会议中,通过投票决定支付42个比特币,价值将近50万美元的赎金。图片来自于 maxpixel莱克...
据外媒报道,NASA总监察长办公室(OIG)于本周发布的一份报告显示,2018年4月,有黑客攻击了他们的网络并盗走了约500M与火星任务相关的数据。攻入的切点则是一台连着NASA喷气推进实验室(JPL) IT网络的树莓派电脑。黑客偷走火星任务数据根据一份49页的OIG报告,黑客通过入侵一个共享网络网关然后利用该入口深入JPL网络,之后进入了存有NASA JP...
Machinae安全情报收集工具Machinae这款开源工具可以帮助广大研究人员从各个开放网站/feed收集跟网络安全有关的数据,例如IP地址、域名、URL、电子邮件地址、文件哈希和SSL指纹等等。该工具受到了Automater的启发,旨在从以下四个方面提升原工具的功能:1、 源代码:将Automater以Python 3进行重构,提升功能扩展性;2、 配置...
第一步拿到注入点:http://xxxxx.com/zxxxxx.aspx?zid=16为了防止被爆菊被和谐,这里的网址采取硬核马赛克措施 – –sqlmap.py–u“http://xxxxx.com/zpDetails.aspx?zid=16” –dbs--dbs查了一下数据库估计是一个小站群,数据库不少,然后列一下数据库的管理员账号sqlma...
什么是Osmedeus?Osmedeus是一款用于侦察和漏洞扫描的全自动安全工具。如何使用如果您不知道自己在做什么,只需输入以下命令或查看高级用法:./osmedeus.py -t example.com安装git clone cd Osmedeus ./install.sh这个安装只关注K...