持续给自己挖坑,简单介绍一下AutumnWater 秋水SRC平台趴: SRC开源漏洞响应平台 AutumnWater 秋水SRC平台 后端使用Python-Flask(蓝图)编写 前端使用少量VUE+三件套编写,数据库使用MySQL 项目部署支持源码安装和Docker安装 适用对象:高等院校或大中型企业,用以搭建内部漏洞提交平台,形成内部良好的安全氛围 主体部分开发时间:2020年9月18日 至 2020年9月30日 因为还有部分坑没有填上,所以暂时不会开源,不过很快啦,月底之前肯定是可以开源…

1.腾讯网首页发表评论未做限制 风险url:http://coral.qq.com/2774166934 使用burp的intruder模块生成payload 未做任何限制导致可批量提交大量的评论…… 腾讯网是个专注最新资讯的网站,并且拥有非常高的日活跃用户,如果在发帖/发表评论处不做任何限制可导致攻击者通过大量注册小号,利用腾讯网来发表恶意言论,包括反政府言论,各种广告推广,诈骗信息等等. 其实当我提交src平台的时候感觉这里其实存在一些风险的……虽然说算不上什么高大上的漏洞…… 但不知道为什…

万物互联时代,网信事业发展突飞猛进,互联网悄然渗透到国民生活的每一个角落,伴随而来的网络安全威胁和风险也日渐突出.网络诈骗.钓鱼软件.勒索病毒等安全问题层出不穷,信息泄露等网络安全事件也频繁上演,给用户和互联网企业带来了十分严重的影响.高度信息化的全背景下,企业.教育者与技术精英更密切地联结为命运共同体. 继2018互联网安全城市巡回赛北京站与上海站成功举办之后,i春秋将继续扮演好纽带的角色,联手网络安全教育者(高校).互联网运营者(企业)与技术精英们(白帽子)再次共聚一堂,探讨网络安全责任的不…

点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞(目前腾讯金刚审计系统已经可检测此类漏洞),移动安全团队发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧. 0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞.该通用型本地拒绝服务可以造成大面积的app拒绝服务. 针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,…

前言 本周一(2019.07.22),给某知名手机“大厂”提了个安全BUG,默默修复了后,周五回复我“已忽略”,此处省略上千字的心理活动..... 做安全的朋友说这都小事,国内氛围本来就不太好,hackone就不会这样. 今天周六写些文时,既然安全问题已修复,那直接发文也不存在什么问题,但是, 写文过程中抓包补图,发现安全问题修复只是表象,文章写了一半,发也不是不发也不是... 斟酌再三,做事哪有做一半的道理,于是写完了本文,图片全部打码处理,交流为主提高大家的安全意识. 如有此文有不妥之处,请…

0x01: 偶一打点,看到一个可爱的系统-. 1.通过F12 把链接提出来仔细瞅瞅- 2.看见id,果断测注入- 感觉有戏 嗯? 啥数据库连接出错,啥意思??? (其实,这是运维做的混淆..) 3.这是什么操作呢? 怎么会数据库连接出错了???我最开始想的是它网站内部没有配置好,但反过来想,如果没有配置好,哪id=5也应该会出现问题才对,所以勇敢的大胆猜,这可能是是一个简单的waf,然后自定义的一个页面. 如何去验证呢? 先删删字符 看看咋回事 多半是and的出问题 4.并且他是数字型注入 编写…

批量刷漏洞: 01刷指纹->02刷原始漏洞->03刷CMS->04刷指定政府.教育->05刷众测平台->06刷SRC->07刷国内外.活动 搜索引擎: 百度.google.搜狗.360搜索.必应.钟馗之眼.FOFA.SHODAN 漏洞平台: 补天.漏洞盒子.CNVD.教育行业漏洞报告平台 批量刷漏洞方法: 1.搜索引擎: 钟馗之眼.FOFA.撒旦 2.爬虫…

前言 网页授权是:应用或者网站请求你用你的微信帐号登录,同意之后第三方应用可以获取你的个人信息 网上说了一大堆参数,实际很难理解和猜透,我们以实际的代码来演示比较通俗易懂 配置 实现之前我们必须配置用户授权获取用户信息的域名或者IP.正式公众号只能配置(域名) 第一步:登录公众号平台 跟我们之前配置公众号平台信息一样 第二步: 打开开发者工具 拉到下半部分位置的网页账号 第三步:配置你的授权回调域名 实现 我们模拟一个需要授权的页面(代码提供来自Senparc) 第一步:新建一个Controll…

公司在IDC机房有两台很高配置的服务器,计划在上面部署openstack云平台虚拟化环境,用于承载后期开发测试和其他的一些对内业务.以下对openstack的部署过程及其使用做一详细介绍,仅仅依据本人实际经验而述,如有不当,敬请指出~ ******************************************************************************************************************************** 1 O…

1.重建主机的Oracle用户 组 统一规范 uid gid 以保证共享存储挂接或其他需求的权限规范 userdel -r oracle groupadd -g 7 oinstall groupadd -g 7 dba useradd -g oinstall -G dba -u 7 oraclepasswd oracle #id oracle uid=7(oracle) gid=7(oinstall) 组=7(oinstall),7(dba) 2.安装好Oracle 需要的rpm包.安装rpm依…