摘要:
SRC挖掘中碰到302挑战场景的CRLF,可利用ws://或者wss://这两个schema uri协议绕过location触发xss漏洞 附url_schema,方便fuzz: aaaaaasaboutacapacctacdacradiumxtraadtafpafsaimamssandroidap 阅读全文
摘要:
测试发现shiro框架网站二级目录下存在/actuator/info目录,但是无权限访问,如下图: 利用shiro权限绕过漏洞构造payload:/xxx//actuator/env,可成功访问: shiro权限绕过利用姿势: ⽆ Shiro < 1.5.0 尾斜杠 /admin/CVE-2020- 阅读全文