验证码、token、接口 主要进行一个工具的演示，我们在爆破或者批量注册的时候，如果对方有输入验证码进行验证的，比如字母、数字+字母这种的，我们可以使用抓包工具burpsuite的一个插件进行实现。 ...

水平越权、垂直越权 这篇文章对逻辑越权中的水平越权和垂直越权进行一个总结，顺带加一个墨者靶场"身份认证失效漏洞实战"的一个打靶记录+工具的使用。正文如下： 水平越权：用户拥有相同等级的权限，但是通 ...

登录脆弱、支付篡改 对登录脆弱和支付篡改进行一个总结。 登录脆弱：对登陆点进行检测，如果该网站使用的是http协议，那么抓包，我们可以看到明文密码，也就是密码可见。（大部分http协议是这样的，不 ...

越权漏洞 IDOR 全称为 Insecure Direct Object Reference 不安全的直接对象参考 什么是IDOR漏洞？ 应用程序中可以有许多变量，例如“ id”，“ pid ...