上一页 1 ··· 507 508 509 510 511 512 513 514 515 ··· 549 下一页
摘要: 7. 绕过 Gitlab 的双因素认证 难度:中 URL:无 报告链接:https://hackerone.com/reports/128085 报告日期:2016.4.3 奖金:无 描述: 4 月 3 日,Jobert Abma(HackerOne 的联合创始人)向 Gitlab 报告称,在双因素 阅读全文
posted @ 2017-03-28 20:57 绝不原创的飞龙 阅读(18) 评论(0) 推荐(0) 编辑
摘要: 4. HackerOne 信号操作 难度:低 URL:hackerone.com/reports/XXXXX 报告链接:https://hackerone.com/reports/106305 报告日期:2015.12.21 奖金:$500 描述: 在 2015 年年末,HackerOne 向站点进 阅读全文
posted @ 2017-03-28 15:31 绝不原创的飞龙 阅读(17) 评论(0) 推荐(0) 编辑
摘要: 九、应用逻辑漏洞 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 应用逻辑漏洞不同于其他我们讨论过的类型。虽然 HTML 注入、HTML 参数污染和 XSS 都涉及到提交一些类型的潜在恶意输入,应用落地及漏洞实际上涉及到操纵场景和利用 Web APP 代码中的 阅读全文
posted @ 2017-03-28 10:41 绝不原创的飞龙 阅读(5) 评论(0) 推荐(0) 编辑
摘要: 4. 雅虎邮件存储型 XSS 难度:低 URL:Yahoo Mail 报告链接:https://klikki.fi/adv/yahoo.html 报告日期:2015.12.26 奖金:$10000 描述: 雅虎邮件编辑器允许人们将图片通过 HTML IMG 标签嵌入到邮件中。这个漏洞在 HTML I 阅读全文
posted @ 2017-03-27 21:38 绝不原创的飞龙 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 十、跨站脚本攻击 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 跨站脚本,或者 XSS,涉及到站定包含非预期的 JavaScript 脚本代码,它随后传给用于,用户在浏览器中执行了该代码。它的一个无害示例为: alert('XSS'); 这会调用 Jav 阅读全文
posted @ 2017-03-27 10:44 绝不原创的飞龙 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 十六、模板注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 模板引擎是允许开发者或设计师在创建动态网页的时候,从数据展示中分离编程逻辑的工具。换句话说,除了拥有接收 HTTP 请求的代码,从数据库查询必需的数据并且之后将其在单个文件中将其展示给用户之外,模板 阅读全文
posted @ 2017-03-27 09:53 绝不原创的飞龙 阅读(15) 评论(0) 推荐(0) 编辑
摘要: 十一、SQL 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 SQL 注入,或者 SQLi 允许黑客将 SQL 语句注入到目标中并访问它们的数据库。它的潜力是无穷的,通常使其成为高回报的漏洞,例如,攻击者能够执行所有或一些 CURD 操作(创建、读取 阅读全文
posted @ 2017-03-26 21:43 绝不原创的飞龙 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 十五、代码执行 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 远程代码执行是指注入由漏洞应用解释和执行的代码。这通常由用户提交输入,应用使用它而没有任何类型的处理或验证而导致。 看一下这行代码: $var = $_GET['page']; eval($v 阅读全文
posted @ 2017-03-26 15:20 绝不原创的飞龙 阅读(5) 评论(0) 推荐(0) 编辑
摘要: 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 示例 1. Google 的读取访问 难度:中 URL:google.com/gadgets/directory?synd=toolbar 报告链接:https://blog.detectify.com/2014/ 阅读全文
posted @ 2017-03-26 12:23 绝不原创的飞龙 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 阅读全文
posted @ 2017-03-25 20:30 绝不原创的飞龙 阅读(8) 评论(0) 推荐(0) 编辑
上一页 1 ··· 507 508 509 510 511 512 513 514 515 ··· 549 下一页