漏洞原理
关注
分享
扫一扫
文章平均质量分 87
混入安全圈的程序猿
一个初入安全圈的“资深”程序猿,喜欢分享一些初入安全行业的学习经验,以及遇到的比较有意思的漏洞挖掘过程。 同时也关注行业信息,时不时会分享一些奇奇怪怪的信息和知识~
展开
-
挖逻辑漏洞不懂数据权限怎么赚大钱?
从开发的角度看权限漏洞的最后一篇了,也就是数据权限篇。原创 2024-07-12 09:02:24 · 1006 阅读 · 0 评论 -
权限类漏洞解析——功能权限篇
但是对于另一类权限漏洞,功能及数据权限相关的漏洞就不一样了,我挖的逻辑漏洞中,大部分来源于它们,从中危到严重,危害等级没有上限。原创 2024-07-11 15:24:57 · 1005 阅读 · 0 评论 -
一文理解权限类漏洞产生的原因之未授权篇
今天我主要从开发的角度和大家分享一下,权限类漏洞中的未授权是怎么产生的~原创 2024-07-11 15:16:10 · 699 阅读 · 0 评论 -
想找SQL注入?遇到这种接口一定要尝试一下!
SQL注入想必大家都是不陌生的(不了解的可能需要补一补基础了),它的危害自然不必多说,可以说不低于RCE,危害程度已经快拉满了。但是在当前WAF横行,各种开发框架的安全保护下,可以说是十分罕见了(野鸡网站不算)。但是如果你发现某网站允许前端传递自定义字段来对数据进行排序,那也许、可能、有小概率会出现SQL注入点原创 2024-05-09 09:15:34 · 714 阅读 · 2 评论 -
程序员是怎么写出存在SSRF漏洞的代码的?
今天放松一下,讲讲SSRF漏洞原理吧~尽量讲得简单一点(本来这个漏洞产生的原因也不复杂),如果有上代码的必要,每段也不超过10行(伪代码),以弄清楚主要逻辑为主。会通过攻击方与防守方两个角度来说明(左右互博)~原创 2024-05-04 16:42:42 · 1482 阅读 · 0 评论 -
漏洞原理:从开发的角度聊一聊并发漏洞产生的原因
并发漏洞各位师傅可能或多或少都接触过,大到并发支付,小到并发点赞、短信等。测试起来很非常简单,找到对应接口,直接tubor intruder一把梭!但是这种漏洞怎么产生的?开发是怎么写的代码?你真的了解它背后的原理吗?今天我想从一个开发的角度讲一讲,服务端到底是怎么实现的相关功能,开发人员又是怎么去规避并发逻辑漏洞的。原创 2024-04-26 14:06:25 · 984 阅读 · 0 评论 -
SRC漏洞挖掘——常见数据加密传输方式解析
这部分主要讲解流程,原本想引入一个实际案例,但是内容有点多,放在下一篇吧。如果有什么疑问,欢迎留言讨论。原创 2024-04-25 10:54:48 · 901 阅读 · 0 评论