14x security Team

展开菜单

好久没写文章了,分享一个银行XSS漏洞挖掘技巧过程

好久没写文章了,分享一个银行XSS漏洞挖掘技巧过程
好久没写文章了,分享一个银行XSS漏洞挖掘技巧过程PS:明年可能去XX或者XX深造深造众所周知,银行的业务系统,是很安全的,不管是接口还是其他的服务,都相对比较成熟,很难挖到有价值的漏洞今天有空写篇文章,简单分享一个银行XSS漏洞,逻辑漏洞技巧挖掘过程以前也挖过银行类的漏洞,都是有保密协议的首先我们得到的目标是一个微信公众号,在这里我们可以随便点开一个页面,获得连接,这时候我们需要发包工具进行测试推荐:fidder,很方便抓到一个地址发现是一个POST方法,token接口,意...

CNVD-2020-10487-Tomcat-Ajp-lfi.py

CNVD-2020-10487-Tomcat-Ajp-lfi.py
CNVD-2020-10487-Tomcat-Ajp-lfi.py#!/usr/bin/env python#CNVD-2020-10487  Tomcat-Ajp lfi#by ydhcuiimport struct# Some references:# https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.htmldef pack_string(s):    if s is Non...

针对从业安全行业的人员职业规划发展未来走向的建议

针对从业安全行业的人员职业规划发展未来走向的建议
针对从业安全行业的人员职业规划发展未来走向的建议目前国内几家大型IT安全公司,无外乎阿里巴巴,腾讯,360,中国网安,绿盟,启明星辰,天融信,安恒等当然也有一些大量的小型IT公司对于职业规划,方向,和发展,需要进行分析如果你只有25岁,那么可以考虑在大公司深造几年,转型管理如果你超过了30岁,那么可以积累管理经验,找一个相对好点的“甲方”单位进行铺垫根据收入,技术能力,以及发展方向的分析阿里巴巴:作为马云创办的阿里巴巴集团,在安全技术方面,在国内处于领先地位,主要工作地点:杭...

安恒玄武盾也有拦截不了的漏洞--逻辑漏洞

安恒玄武盾也有拦截不了的漏洞--逻辑漏洞
安恒玄武盾也有拦截不了的漏洞--逻辑漏洞因为大部分的扫描器是无法直接扫描出逻辑漏洞,所以玄武盾自然也就无法拦截逻辑漏洞逻辑漏洞通常需要对JS框架进行分析,最终分析出逻辑的走向,才能判断如何发掘逻辑漏洞上图为一个短信发送接口这时候可以利用的逻辑可以分为很多种一种是直接正常请求去获取用户参数一种是输入错误的验证码,进行逻辑绕过一种是通过逻辑触发XSS还有一种是非正常的请求获取用户参数思路可以是很多种,前提是利用的危害是什么这时候利用response修改的包,玄武盾是根本无法拦截的...

execCommand 处理Html数据

execCommand 处理Html数据
execCommand 处理Html数据js:<script>var ue = UE.getEditor('w0'); //编辑器 function insertHtml(val) {        UE.getEditor('w0').execCommand('insertHtml', val);    }...

揭开区块链渗透测试的神秘面纱

揭开区块链渗透测试的神秘面纱
揭开区块链渗透测试的神秘面纱区块链技术正在改变人们的工作和生活方式。凭借无与伦比的潜力,区块链使人们能够更好地控制和管理金融交易、医疗保健和许多其他活动,这些活动需要更多的隐私和透明度。以下帮助人们了解什么是区块链渗透测试。  2014年,全球规模最大的比特币交易所价值5亿美元的比特币被盗,此外大约有6,000万美元的以太币通过基于以太坊的分散式自治组织(DAO)重定向至匿名帐户。2017年,全球第二大比特币攻击事件发生在比特币在线交易平台Bitfinex,造成将近7200万...

蚂蚁金服招聘应用和区块链等安全人才

蚂蚁金服招聘应用和区块链等安全人才
蚂蚁金服招聘应用和区块链等安全人才有意者请投递简历至:lizhong.blz@antfin.com蚂蚁金服期待你的加入。招聘岗位:应用安全专家岗位职责:1. 负责蚂蚁金服产品的安全需求评审,代码审计,安全测试,漏洞应急响应等工作;2. 负责蚂蚁相关应用框架、组件的漏洞挖掘、分析及漏洞应急响应;3. 负责蚂蚁应用安全能力建设(白盒代码扫描,交互式扫描,IDE安全插件等)4. 负责蚂蚁安全解决方案组件建设岗位要求:1. 成熟的SDL工作经验和落地经历2. 熟练...