- 简介
- 目录大纲
- 最新文档
小程序让地址校验失效
1 “舔狗的自述” 事情是这样的。 最近在挖某家新开的 SRC,小程序刚上线没多久,我寻思: “新资产 + 新业务,一般都比较有节目效果。” 于是打开小程序开始随缘乱逛。 一、第一眼:非常普通的购物小程序 整个小程序长这样: 说实话,第一眼看过去: 很普通。 普通到甚至有点困。 就是标准的: 商品 下单 收货地址 支付 这种电商模板。 二、一开始其实没什么思路 我最开始...……
xiaodi - 2026年5月15日 21:41
EDU证书985泄露越权
本期给各位师傅分享一期某985大学的证书站实战案例,作者再次感受到挖洞姿势不难,难的是找资产。看完这个文章,相信各位师傅后续也能收获漏洞证书。 详细过程见实战部分。 实战 在开始挖这个证书高校前,其实前期也摸排了很多次,最终通过在某个学院的门户下,找到了漏洞资产,fofa、hunter在前期测绘时并未找到此资产。 所以说,找资产是比较重要的,找到其他人没找到的资产,出洞的概率就会大大提升。 ...……
xiaodi - 2026年5月13日 18:00
某APP逆向渗透测试总
某银行员工维修APP渗透测试总结 作者:小子你干嘛 https://xz.aliyun.com/news/17265 文章转载自 先知社区 上周对某行的4个app(其实都是一个app写的模板)进行了渗透测试,记录自己渗透的一些思路和过程,已打码,仅供学习和参考。 个人是逆向出身,后来对Android感兴趣逐渐深入学习,更加偏向于本地漏洞+web渗透测试,其实还是菜鸡一个。 可能大多数厂商认为...……
xiaodi - 2026年5月9日 17:13
APP绕过时间过期限制
参加过期活动 漏洞等级:中 打开APP来到这里 发现可以开盒子尝试点击开启 这里显示不在举办时间点击抽奖然后抓包 将POST参数改成10尝试一下 发现成功开启 已经显示今日已开启箱子完成过了活动时间进行抽奖
xiaodi - 2026年5月8日 15:43
爆破支付密码绕过限制
案例介绍 某金融项目的一个爆破支付密码的进而进行修改支付密码案例 案例 该用户中心的修改密码功能,该功能会先去验证当前交易密码输入得是否正确,如果正 确就进行修改密码的操作,不正常则返回密码错误,而且该处并没有进行限制修改次数 查看一下错误的返回包 使用 burp 进行爆破 该种类漏洞 收录可能会有一些比如需要爆破次数需要达到 2w 类似的要求
xiaodi - 2026年5月8日 15:41