技术栈
web 安全
夏天测
18 天前
渗透测试
·
状态模式
·
业务逻辑漏洞
·
web 安全
·
响应包篡改
业务逻辑漏洞实战:篡改响应包绕过登录,直入后台管理系统
当下多数企业 OA、教务系统、后台管理平台均采用前后端分离架构。部分开发者存在安全认知误区,将登录状态判断、权限校验等核心安全逻辑交由前端实现。攻击者可利用中间人抓包工具拦截服务器返回的登录响应包,修改状态标识实现登录绕过。该漏洞无需复杂漏洞利用技巧,却能造成严重的安全后果,也是 SRC 众测、企业内部安全巡检中重点排查的漏洞类型。
夏天测
1 个月前
网络安全
·
web 安全
·
src 漏洞挖掘
·
反射型 xss
·
漏洞报告模板
SRC 漏洞挖掘实战|反射型 XSS 漏洞详解、复现全流程与 SRC 报告模板
反射型 XSS 是 Web 安全领域入门级高频漏洞,也是 SRC 漏洞提交中最易上手的类型之一。它无数据持久化存储、触发方式简单、测试门槛极低,是零基础网安爱好者入门漏洞挖掘的首选突破口。本文从核心原理、危害、挖掘思路、实战复现到标准报告模板全流程拆解,帮你快速掌握反射型 XSS 的挖洞与上报技巧。
夏天测
1 个月前
漏洞复现
·
网络安全入门
·
业务逻辑漏洞
·
web 安全
·
src 挖洞
Web 安全入门|业务逻辑绕过漏洞原理、挖掘思路及 SRC 实战报告编写
在 Web 安全学习和 SRC 漏洞挖掘过程中,很多入门开发者、网安爱好者都有一个通病:过度聚焦 SQL 注入、XSS 跨站、文件上传这类特征明显的显性漏洞,花费大量时间研究各类 Payload 和爆破工具,却严重忽视了业务逻辑漏洞。
犬大犬小
6 个月前
前端
·
安全性测试
·
web 安全
Web 渗透:如何绕过403 Forbidden? Part I
Web 渗透常常遇到403 page,思考三秒,遇到后下一步你会尝试什么操作?有思路吗?遇到一遍毕竟好的文章,相对系统的讲了具体的绕过技术,抽空学学写下来....
我是有底线的