全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    如何突破空白页面

    作者:迪哥讲事发布日期:2025-11-09 12:00:00

    前言在日常的渗透测试中,我们常会遇到一片空白的页面,让许多师傅感到无从下手。其实,这种“空白”往往只是表象,背后可能隐藏着未被发现的管理后台、API接口甚至是安全漏洞。本文总结了几种实用的思路,旨在将

    阅读全文
  • 文章封面

    RCE 漏洞

    作者:迪哥讲事发布日期:2025-11-08 12:30:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。导语简单来说,Anthropic 官方发布

    阅读全文
  • 文章封面

    【SRC实战】通过FUZZ挖掘高危漏洞

    作者:迪哥讲事发布日期:2025-11-07 08:30:00

    01前言问:什么是Fuzz技术?答:Fuzz是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试;技术原理02一次曲折的FUZ

    阅读全文
  • 文章封面

    招聘!!!!!!

    作者:迪哥讲事发布日期:2025-11-06 08:30:00

    正文北京长期驻场需求(某央企二级单位,北京五道口附近)高级:1人(硬性:本科)(非硬性:5年工作经验和有证书,能力强可放宽要求) 懂项目管理,应急响应,报告撰写,了解国内外常见APT攻击手法,能提供防

    阅读全文
  • 文章封面

    通杀脚本-III

    作者:迪哥讲事发布日期:2025-11-05 17:30:00

    0x00 前言去年我发过两篇讲解自动化加解密的文章:JS逆向系列07-实战详解如何实现自动化加解密和JS逆向系列08-双层mitmproxy代理实现自动化加解密,我原本以为自动化加解密系列至此就结束了

    阅读全文
  • 文章封面

    分享一个白帽挖掘到漏洞的过程

    作者:迪哥讲事发布日期:2025-11-04 17:30:00

    分享一个白帽挖掘到漏洞的过程正文1.信息收集:$ subfinder -d example.com | httpx -o examplesubdomain.txt2.对资产进行存活处理,这里找到一个资

    阅读全文
  • 文章封面

    高阶IDOR思路-二阶IDOR

    作者:迪哥讲事发布日期:2025-11-03 17:30:00

    高阶IDOR思路-二阶IDOR本文根据原文理解所梳理出的测试思路正文正常情况下:https://bankingapp.com/transactions/show_receipt.aspx?id=324

    阅读全文
  • 文章封面

    从控股公司下手挖掘漏洞的骚思路

    作者:迪哥讲事发布日期:2025-11-02 21:53:53

    1、众所周知很多src都是会收其控股超过50%公司的漏洞,所以有时候还是能从其控股公司捡到不少洞的,使用爱企查查看股权穿透。2、查看该公司发现没有任何资产,既没有网站,也没有软件著作,只有三个商标信息

    阅读全文
  • 文章封面

    任意用户密码重置

    作者:迪哥讲事发布日期:2025-11-01 19:22:39

    声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。忙里偷闲中接到客户的一个渗透需求,想看看某系统是否存在安全问题。那还说啥,必须高优安排。拿到系统,哦吼~还

    阅读全文
  • 文章封面

    通杀脚本(续)

    作者:迪哥讲事发布日期:2025-10-31 17:52:22

    0x00 前言首先非常感谢所有支持过我插件的朋友们,如果没有各位的支持,AntiDebug_Breaker也不会衍生出目前已有的这些功能。这篇续文我将讲述一下我为昨天更新的脚本进行的一些修改,以下是修

    阅读全文
  • 文章封面

    RCE

    作者:迪哥讲事发布日期:2025-10-30 17:57:52

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。SSTISSTI ,服务器端模板注入(Se

    阅读全文
  • 文章封面

    命令执行

    作者:迪哥讲事发布日期:2025-10-29 15:47:25

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    将反射型xss升级为账户劫持

    作者:迪哥讲事发布日期:2025-10-28 21:40:19

    将反射型xss升级为账户劫持正文正常请求:https://www.target.gov/group/control_panel/manage?_com_liferay_users_admin_web_

    阅读全文
  • 文章封面

    自动SSRF漏洞扫描与利用工具

    作者:迪哥讲事发布日期:2025-10-27 17:47:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言有没有一种工具,既可以自动检测SSRF

    阅读全文
  • 文章封面

    实战 | 记一次X站逻辑漏洞到到管理员后台

    作者:迪哥讲事发布日期:2025-10-26 18:59:40

    前言:闲来无事,在群里发现有人推这玩意,一看居然是个cps平台这就有意思了我们先去找大哥开一个代理账号拿到账号之后,登录看看js也看了下没啥东西,套了cdn,也没上传点可以添加下级渠道,尝试添加添加抓

    阅读全文
  • 文章封面

    某通杀 工具

    作者:迪哥讲事发布日期:2025-10-25 22:47:00

    正文脚本地址:https://github.com/0xsdeo/Hook_JS/blob/main/Hook_CryptoJS/Hook_CryptoJS_%E5%AF%B9%E7%A7%B0%E5

    阅读全文
  • 文章封面

    获得管理员访问权限另类思路

    作者:迪哥讲事发布日期:2025-10-24 23:12:03

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c

    阅读全文
  • 文章封面

    某系统存在多处SQL注入漏洞

    作者:迪哥讲事发布日期:2025-10-23 17:30:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    信息收集神器

    作者:迪哥讲事发布日期:2025-10-22 17:30:00

    重要事情!!!本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。Attacker安全安全小马喽们!!!现

    阅读全文
  • 文章封面

    最大化收集Vue框架(SPA类型)下的js

    作者:迪哥讲事发布日期:2025-10-21 20:03:45

    0x00 前言我有很长一段时间没有更新与web安全有关的内容了,这两天我学习了一下Vue,今天我就将我所学到的一些内容汇总到这篇文章中并分享出来。注:1.本文不会涉及到fuzz js文件。2.本文假设

    阅读全文
  • 文章封面

    0点击账户劫持

    作者:迪哥讲事发布日期:2025-10-20 22:17:23

    前言这是由一个非常有趣且容易被忽视的缺陷引发的攻击:很多看似复杂或高危的漏洞,其根因都可以归结为程序在不同处理层对同一数据的解析/表示存在不一致性(inconsistency)。今天我们要讨论的正是基

    阅读全文
  • 文章封面

    通过操控响应来实现ssrf

    作者:迪哥讲事发布日期:2025-10-19 17:50:44

    正文正常情况下:POST /me/videos HTTP/1.1Host: api.vimeo.comAuthorization: Bearer <User_OAuth_Token>Content-T

    阅读全文
  • 文章封面

    swagger页面限制的绕过

    作者:迪哥讲事发布日期:2025-10-18 23:07:05

    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删

    阅读全文
  • 文章封面

    模糊测试api接口

    作者:迪哥讲事发布日期:2025-10-17 17:30:00

    免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会

    阅读全文
  • 文章封面

    代码审计之路之白盒挖掘机

    作者:迪哥讲事发布日期:2025-10-16 17:30:00

    本文约4000字,阅读约需9分钟。Java审计其实和Php审计的思路一样,唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量,一级一级调用,最后到控制器,这种相对简单、快速。2.逆向思维,

    阅读全文
  • 文章封面

    反调试破除神器

    作者:迪哥讲事发布日期:2025-10-15 17:30:00

    前言应该有不少读者朋友都知道我有一个Hook_JS库,这个库从创建到现在为止,已有242个star,80个fork,并且被很多星主,博主转发过,在此我也感谢大家对Hook_JS库的关注与支持。但在前段

    阅读全文
  • 文章封面

    出洞的高效方法​​

    作者:迪哥讲事发布日期:2025-10-14 17:35:00

    声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。内容来自 Medium 上 coffinx

    阅读全文
  • 文章封面

    最大化获取Vue框架(SPA类型)下的路由

    作者:迪哥讲事发布日期:2025-10-13 18:15:03

    0x00 前言在最大化收集Vue框架(SPA类型)下的js中我提出了一个重要观点:想要最大化且快速的收集Vue框架(SPA类型)下的js就需要进入目标站点下的所有路由,当你访问这些路由时就会加载各个路

    阅读全文
  • 文章封面

    实战 | 记一次SQL到接口的SSRF

    作者:迪哥讲事发布日期:2025-10-12 12:30:00

    再一次众测项目中挖掘到一个有意思的漏洞空白页面,先扫下端口和目录Wap目录有个登录页弱口令爆破下日了,有校验本来准备换站的,刷新了一下,突然进来了?玩的就是心跳和刺激是吧,主打的就是一个陪伴是吧功能少

    阅读全文
  • 文章封面

    MCP安全协议:从攻击手法到最佳实践,全景解析

    作者:迪哥讲事发布日期:2025-10-11 19:27:56

    在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此

    阅读全文
下一页