一直没有挖到过短信轰炸漏洞，这次终于遇到了： 获取验证码，抓包 虽然这里存在有滑块验证，但是后端并没有对滑块进行验证，故形同虚设。 多次重放发现还是存在频次限制的，响应包显示发送频繁 使用XFF 进行IP伪造，无果 猜测是通过会话来判断是否多次发送的，对session进行 ...

在sys_variable_name字段存在一个xss跨站脚本攻击漏洞。 但是不知道从何下手，于是接着查 ...

曾经的我，以为挖掘cnvd是一个非常遥不可及的事情，注册资产5000万黑盒10案例（目前还不会代码审计吖，后续会努力学习吖！）这个门槛就已经难住我了（脚本小子的自述）。 本文涉及相关实验：利用sqlmap辅助手工注入 （本实验主要介绍了利用sqlmap辅助手工注入，通过本实验的学习，你能够 ...

最近认识了个新朋友，天天找我搞XSS。搞了三天，感觉这一套程序还是很有意思的。因为是过去式的文章，所以没有图。但是希望把经验分享出来，可以帮到和我一样爱好XSS的朋友。我个人偏爱富文本XSS，因为很有 ...

根据手头上的信息，最大化的利用，一次简单的漏洞挖掘，感觉过程很有意思分享一下~0x01初始收集子域，也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面，深入然后发现很多的敏感信息。也是从其中的一处敏感泄露，引发了众多漏洞的挖掘。整个测试其实就花了 ...

测试发现一个js接口，里面包含了众多js接口拼接路径信息： 将接口提取出来，通过jsfinder批量提取js里的接口，经提取发现 直接访问 返回404，大概率是目录路径不正确， ...

垃圾办信用卡短信数据分析 最近天天收到叫我办理某银行的信用卡的短信，让我们感觉和真的一样，其实，很多都是套路，都是别人拿来套用户的信息的。下面我们来看下短信 常理分析 分析一下下面这条短信，首先乍一看这个短信好像很真实的感觉，广发银行，并且带有申请链接。并且号码并不是 ...

白帽子您好，横向轰炸不收，故此忽略，感谢提交。如有更多疑问可咨询平台客服小姐姐（QQ:3459476393），非常感谢对漏洞盒子与互联网安全的支持，对此给您带来的不便我们深感抱歉。 收到上面一条信息， 才知道短信轰炸也分横向轰炸和纵向轰炸。 从字面上猜猜，大概如下意思。 就我遇到 ...