web 安全

夏天测18 天前
渗透测试·状态模式·业务逻辑漏洞·web 安全·响应包篡改
业务逻辑漏洞实战:篡改响应包绕过登录,直入后台管理系统当下多数企业 OA、教务系统、后台管理平台均采用前后端分离架构。部分开发者存在安全认知误区,将登录状态判断、权限校验等核心安全逻辑交由前端实现。攻击者可利用中间人抓包工具拦截服务器返回的登录响应包,修改状态标识实现登录绕过。该漏洞无需复杂漏洞利用技巧,却能造成严重的安全后果,也是 SRC 众测、企业内部安全巡检中重点排查的漏洞类型。
夏天测1 个月前
网络安全·web 安全·src 漏洞挖掘·反射型 xss·漏洞报告模板
SRC 漏洞挖掘实战|反射型 XSS 漏洞详解、复现全流程与 SRC 报告模板反射型 XSS 是 Web 安全领域入门级高频漏洞,也是 SRC 漏洞提交中最易上手的类型之一。它无数据持久化存储、触发方式简单、测试门槛极低,是零基础网安爱好者入门漏洞挖掘的首选突破口。本文从核心原理、危害、挖掘思路、实战复现到标准报告模板全流程拆解,帮你快速掌握反射型 XSS 的挖洞与上报技巧。
夏天测1 个月前
漏洞复现·网络安全入门·业务逻辑漏洞·web 安全·src 挖洞
Web 安全入门|业务逻辑绕过漏洞原理、挖掘思路及 SRC 实战报告编写在 Web 安全学习和 SRC 漏洞挖掘过程中,很多入门开发者、网安爱好者都有一个通病:过度聚焦 SQL 注入、XSS 跨站、文件上传这类特征明显的显性漏洞,花费大量时间研究各类 Payload 和爆破工具,却严重忽视了业务逻辑漏洞。
犬大犬小6 个月前
前端·安全性测试·web 安全
Web 渗透:如何绕过403 Forbidden? Part IWeb 渗透常常遇到403 page,思考三秒,遇到后下一步你会尝试什么操作?有思路吗?遇到一遍毕竟好的文章,相对系统的讲了具体的绕过技术,抽空学学写下来....
我是有底线的