F12sec荣获2022双十一保卫战，军衔数量榜第二！！！ 获奖情况2022年双11购物节的第14年双11安全保卫战的第6年阿里巴巴联合蚂蚁集团、百度、贝壳、美团货拉拉、快手、OPPO、平安、网易小米、字节跳动、Ct stack-xray社区组成双11安全联盟... 2022-11-17 12:6:13 | 阅读: 9 | 收藏 | F12sec 安全 战士 伟大 破浪 化雨

国外bounty tips(2) 越权1、id垂直越权/users/01 -> /user/022、参数污染users=01 -> users=01&users=023、特殊字符/users/01* or /user/* ->通配符导... 2022-10-26 11:9:32 | 阅读: 14 | 收藏 | F12sec 1111 403 02referer 通配符 022

1024热爱者日！京东畅销榜的这些经典网络安全书籍，100元带走！ 盼望着盼望着1024的脚步近了一年一度的程序员节又到来啦（撒花）~为了庆祝这个Special Day京东图书大促2022.10.24-2022.10.27（以具体时间为准） 京东科技图书大促部分图书每... 2022-10-25 09:1:32 | 阅读: 10 | 收藏 | F12sec 安全 渗透 python 攻防 网络

thinkphp3.2.3代码审计 环境准备源码地址：http://www.thinkphp.cn/download/610.html环境搭建：phpstudy pro [apache + php7.3 + mysql5.7]审计工具：... 2022-10-25 09:1:27 | 阅读: 16 | 收藏 | F12sec php 0x7e 注入 tp323 test3

1024热爱者日！京东畅销榜的这些经典网络安全书籍，100元带走！ 盼望着盼望着1024的脚步近了一年一度的程序员节又到来啦（撒花）~为了庆祝这个Special Day京东图书大促2022.10.24-2022.10.27（以具体时间为准） 京东科技图书大促部分图书每... 2022-10-24 08:1:27 | 阅读: 21 | 收藏 | F12sec 安全 渗透 网络 攻防 python

国外bounty tips(1) 当发现越权当访问缺出现401/403错误时，一些绕过1、用数组绕过{"id":111} -> {"id":[111]}2、JSON绕过{"id":111} -> {"id":{"id":111}}3、... 2022-10-23 08:47:26 | 阅读: 5 | 收藏 | F12sec 绕过 26id urldecode 权当 401

一次任意文件读取与分析 本文记录以前的一次偶然测试过程，常见问题在文章底部。地址来源发现第一眼看的时候，整个网站什么都没有，登录后也没有看到什么接口，猜测是个前后端不分离的，通过接口去做什么不太现实，只能想别的方法。看了一下... 2022-10-15 14:1:38 | 阅读: 14 | 收藏 | F12sec dirname nodejs python 漏洞 v16

一次CRC32校验的文件上传意外Bypass 起因某日在挖SRC的过程中发现一个比较有意思的上传点，成功绕过后深入研究了一下。功能点上传如图所示。该站是将所有的静态资源文件上传至七牛云的OSS上，七牛云OSS与目标某个用来存放静态文件的子域名绑定... 2022-10-14 08:32:56 | 阅读: 8 | 收藏 | F12sec crc32 8d6b 4feb 数据 f3aa

Windows应急响应-文件隐藏 公众号原文连接：Windows 应急响应 - 文件隐藏在黑帽 SEO 中，通常会遇到利用 easy file locker 来实现驱动隐蔽的方式。下载 easy file lockerhttps://... 2022-10-13 13:12:22 | 阅读: 12 | 收藏 | F12sec 隐藏 windows xlkfs 安全 管家

EDU证书站点五分钟漏洞挖掘 在学习JAVA的过程当中，突然微信弹出一条消息，通过信息搜集拿到了学校账号，但是莫得漏洞，于是让我在摸一摸看看能不能搞到一些东西。于是自己停下了自己的学习，开始去测试学校资产，踩在了大佬的肩膀上，登录... 2022-10-11 10:20:49 | 阅读: 13 | 收藏 | F12sec 注入 漏洞 asc 数据 数据库

业务安全之短信&邮箱验证码 短信&邮箱验证码轰炸本文对目前网络上与业务安全相关的短信&邮箱验证码进行整理。收集自：国外BountyTips乌云漏洞库各大安全类媒体（论坛、公众号等）0x01 特殊符号绕过短信&邮箱轰炸限制Requ... 2022-10-10 08:32:33 | 阅读: 14 | 收藏 | F12sec 绕过 215x 轰炸 client

分享一个EDU案例~ 水一篇文章。分享一个之前edu的案例正文通过打点，发现了某校的服务平台弱口令探测，admin / admin123进入后台从邮箱可以看出，此平台应该是若依系统魔改版，Nday试试。Nday统统打不下。... 2022-10-6 14:21:46 | 阅读: 13 | 收藏 | F12sec 数据 数据库 accesskey 翻翻 nday

干货 | 企业src漏洞挖掘技巧 2022-10-3 17:47:7 | 阅读: 97 | 收藏 | F12sec 北山 f12sec

那年那日那些洞 前言此文库主要是记录一年来一些有趣的漏洞，拿出来给大家分享一下，仅供学习参考，禁止对任何未授权的网站进行实操。此系列会持续更新~~~也欢迎大家投稿！！1.命令执行不说废话直接上图，这是一个iot的站所... 2022-9-30 08:31:33 | 阅读: 32 | 收藏 | F12sec whoami wav 文库 字眼 漏洞

记一次实战捡洞的快乐时光 免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会... 2022-9-24 08:36:18 | 阅读: 12 | 收藏 | F12sec 狐狸 爆破 美滋滋 滋滋 安全

渗透测试中的小技巧 免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即... 2022-9-24 08:36:15 | 阅读: 13 | 收藏 | F12sec 爆破 burp 安全 账号

记一次C/S架构客户端配置文件泄露导致的内网沦陷 起因：单位给了一个客户端系统的项目还给了账号，让我帮忙看看。结果：客户端->Web->内网->域控。注：由于目标单位所用的web系统以及服务器都是比较老的机子，所以可能没有很高的技术含量，不足之处还望... 2022-9-24 08:36:12 | 阅读: 8 | 收藏 | F12sec 数据 数据库 机子 漏洞 渗透

信息收集与自动化爆破 点击上方“蓝字”，关注更多精彩遇到没有验证码可爆破系统，实际情况比较少见，是碰巧了，很少能有这么理想的环境和顺利的过程。最近帮群友搞一个账号，顺便写出来过程。有前置条件（能一直登录而且没验证码），有点... 2022-9-23 08:5:10 | 阅读: 14 | 收藏 | F12sec 账号 性别 信息 碰巧 奇偶

记一次地级市某行业专项攻防演练 2022-9-23 08:5:7 | 阅读: 12 | 收藏 | F12sec

吃瓜 | 关于大雾对我团队诽谤澄清+律师函 想吃瓜的师傅们看原文:https://note.youdao.com/ynoteshare/index.html?id=8087fa01149a0459071b50ab1f6... 2022-8-8 00:1:53 | 阅读: 69 | 收藏 | F12sec 大雾 北山 f12sec 月球 小丑