一直沒有挖到過短信轟炸漏洞，這次終於遇到了： 獲取驗證碼，抓包 雖然這里存在有滑塊驗證，但是后端並沒有對滑塊進行驗證，故形同虛設。 多次重放發現還是存在頻次限制的，響應包顯示發送頻繁 使用XFF 進行IP偽造，無果 猜測是通過會話來判斷是否多次發送的，對session進行 ...

在sys_variable_name字段存在一個xss跨站腳本攻擊漏洞。 但是不知道從何下手，於是接着查 ...

曾經的我，以為挖掘cnvd是一個非常遙不可及的事情，注冊資產5000萬黑盒10案例（目前還不會代碼審計吖，后續會努力學習吖！）這個門檻就已經難住我了（腳本小子的自述）。 本文涉及相關實驗：利用sqlmap輔助手工注入 （本實驗主要介紹了利用sqlmap輔助手工注入，通過本實驗的學習，你能夠 ...

最近認識了個新朋友，天天找我搞XSS。搞了三天，感覺這一套程序還是很有意思的。因為是過去式的文章，所以沒有圖。但是希望把經驗分享出來，可以幫到和我一樣愛好XSS的朋友。我個人偏愛富文本XSS，因為很有 ...

根據手頭上的信息，最大化的利用，一次簡單的漏洞挖掘，感覺過程很有意思分享一下~0x01初始收集子域，也是滲透的初始。這里我只是簡單用了fofa發現了該公司用來管理合作的一些子域名然后發現是登錄管理頁面，深入然后發現很多的敏感信息。也是從其中的一處敏感泄露，引發了眾多漏洞的挖掘。整個測試其實就花了 ...

測試發現一個js接口，里面包含了眾多js接口拼接路徑信息： 將接口提取出來，通過jsfinder批量提取js里的接口，經提取發現 直接訪問 返回404，大概率是目錄路徑不正確， ...

垃圾辦信用卡短信數據分析 最近天天收到叫我辦理某銀行的信用卡的短信，讓我們感覺和真的一樣，其實，很多都是套路，都是別人拿來套用戶的信息的。下面我們來看下短信 常理分析 分析一下下面這條短信，首先乍一看這個短信好像很真實的感覺，廣發銀行，並且帶有申請鏈接。並且號碼並不是 ...

白帽子您好，橫向轟炸不收，故此忽略，感謝提交。如有更多疑問可咨詢平台客服小姐姐（QQ:3459476393），非常感謝對漏洞盒子與互聯網安全的支持，對此給您帶來的不便我們深感抱歉。 收到上面一條信息， 才知道短信轟炸也分橫向轟炸和縱向轟炸。 從字面上猜猜，大概如下意思。 就我遇到 ...