一、前言 半个月前, @Tater 发了一个《透过官方来源调用API发表微博.无需client_sec》(WooYun: 透过官方来源调用API发表微博.无需client_sec ),但是对于其中涉及...
WooYun-Zone
存储型xss自己x自己的xss各个浏览器的用法
很多时候我们会碰到一些xss,自己编辑的时候没有过滤,但保存以后过滤了,点击编辑又会触发,这个时候会感觉很鸡肋对不对。 这个时候就会想能不能csrf去触发修改,这样受害者不是能够自己x自己了,我们也能...
大家好- -我是这个领域的领主、是否可以发布外
游戏总是和外挂相依为命 没外挂的游戏不是好游戏! 没外挂的游戏不会有人玩! 同意的顶一下并留下你玩的游戏。 为啥具体请看历史贴。。 = =@xsser 这样玩可以吧。。 刚刚进来 猛然发现,居然可以对...
大家好,成了这个领域的领主了《内置引流链接
好久没在这个领域说话了,估计之前的领主比我还低调 引流一篇帖子,虽然与这个领域的关系不是很大,但是用这个工具也可以在引擎里查看! ExIf XSS攻击防御版 Exlf Viewer 并增加腾讯地图查看...
WooYun-Zone
大家好好准备预计今年安全行业工资平均涨50%
高级点的人才能够到平均65w/年,初级的应该在15w/年,中级的在35w/年,不到这个数的可以考虑准备好然后跳槽了 PS: 不算股票等其他收入 RT,大家信么 :) 1# 假剑心 (本ID出租。30/...
WooYun-Zone
早上接到工商钓鱼基站发送的钓鱼信息 来干
www.ghjfyu.net 只允许手机进行登陆 另外求个 火狐改UA插件 1# px1624 (aaaaaaaaa) | 2016-02-26 20:41 burp拦截,修改后...
WooYun-Zone
大家来猜搜狗那个安全漏洞的形成原因(猜对获
首先我觉得这个问题应该是真实的,在用户量大的时候很容易由于内部的算法导致两个用户的身份认证出现混淆,从而导致所谓的“串号”的情况发生,尽管发生的概率比较小,而且可能要满足特定的条件,但是这种情况还是比...
WooYun-Zone
代码审计案例一枚fanwe o2o 笔记
FROM: https://www.leavesongs.com/PENETRATION/fanwe-o2o-demo-website-getshell.html ...
当cookie被x 之后如何保证帐号安全?
首先想到的就是ip 但是CEO CTO XXO 不同意说用户体验不好! 然后想到的是浏览器头信息。但是尼玛要是那天不小心升级了浏览器。记住登录就over了 也要影响体验。 大家集思广益 看看还有撒好方...
对MD5散列密码的一些思考
《应用密码学 -算法、协议与C源码》是一本很好的密码学协议入门、科普书 作者并没有一开始就介绍算法的数学原理、算法如何工作这样的细节 而是从一开始就在说一个问题,使用什么算法,往往并不是最需要考量的,...
